PROSÍM O KONTROLU LOGU

v.zicha · Příspěvekod **v.zicha** » 01 pro 2008 19:33

Prosím o kontrolu logů, nefunkční přístup na internet a přítomnost virů.
Z combo fix:
ComboFix 08-11-30.01 - Tibor 2008-11-30 19:17:14.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.221 [GMT 1:00]
Spuštěný z: D:\ComboFix.exe
* Resident AV is active

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2008-10-28 do 2008-11-30 )))))))))))))))))))))))))))))))
.

2008-11-30 16:08 . 2008-11-30 16:08 <DIR> d-------- c:\program files\Alwil Software
2008-11-29 17:18 . 2008-11-29 17:18 <DIR> d-------- c:\program files\Microsoft Games
2008-11-25 19:36 . 2008-11-25 19:36 <DIR> d-------- c:\program files\Evonsoft
2008-11-25 19:26 . 2008-11-25 19:26 <DIR> d-------- c:\program files\SUPERAntiSpyware
2008-11-25 19:26 . 2008-11-25 19:26 <DIR> d-------- c:\documents and settings\Tibor\Data aplikací\SUPERAntiSpyware.com
2008-11-25 19:26 . 2008-11-25 19:26 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\SUPERAntiSpyware.com
2008-11-25 19:17 . 2008-11-30 19:21 5,464,096 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-25 19:17 . 2008-11-30 19:20 65,060 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-25 19:09 . 2008-11-25 19:09 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MailFrontier
2008-11-25 19:08 . 2008-07-09 09:05 75,248 --a------ c:\windows\zllsputility.exe
2008-11-25 19:07 . 2008-07-09 09:05 1,086,952 --a------ c:\windows\system32\zpeng24.dll
2008-11-25 19:04 . 2008-11-25 19:04 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d-------- c:\documents and settings\Administrator\Plocha
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d--h----- c:\documents and settings\Administrator\Okolní tiskárny
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d--h----- c:\documents and settings\Administrator\Okolní síť
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d-------- c:\documents and settings\Administrator\Oblíbené položky
2008-11-25 16:34 . 2008-08-24 15:06 <DIR> d--h----- c:\documents and settings\Administrator\Šablony
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> dr------- c:\documents and settings\Administrator\Nabídka Start
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d-------- c:\documents and settings\Administrator\Dokumenty
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> dr-h----- c:\documents and settings\Administrator\Data aplikací
2008-11-25 16:34 . 2008-11-25 16:34 <DIR> d-------- c:\documents and settings\Administrator
2008-11-24 20:26 . 2008-11-24 20:26 <DIR> d-------- c:\program files\QIP
2008-11-16 10:50 . 2008-11-16 10:50 <DIR> d-------- c:\program files\Zoner
2008-11-01 18:36 . 2008-11-16 10:51 <DIR> d-------- c:\documents and settings\Tibor\Data aplikací\Zoner
2008-10-08 06:20 . 2008-10-08 06:20 <DIR> d-------- C:\spoolerlogs

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 18:08 1,803,387 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-11-26 21:02 --------- d-----w c:\documents and settings\Tibor\Data aplikací\Skype
2008-11-26 15:03 --------- d-----w c:\documents and settings\Tibor\Data aplikací\skypePM
2008-11-25 20:01 --------- d-----w c:\program files\ESET
2008-11-12 18:27 230,432 ----a-w C:\PA7302.DAT
2008-11-12 14:42 101,267 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_11_18_51_50_small.dmp.zip
2008-11-11 17:50 94,245 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_11_15_26_04_small.dmp.zip
2008-11-10 19:06 121,848 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_10_16_46_30_small.dmp.zip
2008-11-10 14:23 95,549 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_10_08_47_54_small.dmp.zip
2008-11-09 09:54 140,893 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_09_10_48_49_small.dmp.zip
2008-10-24 18:09 --------- d-----w c:\documents and settings\Tibor\Data aplikací\Ahead
2008-10-24 13:41 --------- d-----w c:\documents and settings\Tibor\Data aplikací\ICQ
2008-10-07 15:22 2,512,384 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-08-28 15:46 35,124,856 ----a-w c:\program files\AdbeRdr90_en_US.exe
2008-08-28 14:44 15,213,832 ----a-w C:\install_atlas_icq6.exe
2008-08-28 14:41 22,414,120 ----a-w C:\SkypeSetup.exe
2008-08-24 14:44 32 ----a-w c:\documents and settings\All Users\Data aplikací\ezsid.dat
2008-08-24 14:32 298,104 ----a-w c:\windows\system32\imon.dll
2001-11-23 10:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2008-08-24 949376]
"PAC7302_Monitor"="c:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2008-08-28 222456]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
R3 ReallusionVirtualAudio;Reallusion Virtual Audio;c:\windows\system32\DRIVERS\RLVrtAuCbl.sys [2008-08-28 31616]
S3 ati2mtaa;ati2mtaa;c:\windows\system32\DRIVERS\ati2mtaa.sys [2008-08-26 326912]
S3 PAC7302;Eye 312;c:\windows\system32\DRIVERS\PAC7302.SYS [2008-08-28 457856]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 19:21:20
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(748)
c:\program files\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(812)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\ESET\nod32krn.exe
.
**************************************************************************
.
Celkový čas: 2008-11-30 19:23:40 - počítač byl restartován
ComboFix-quarantined-files.txt 2008-11-30 18:23:35
ComboFix2.txt 2008-11-30 18:11:39

Před spuštěním: Volných bajtů: 51 098 361 856
Po spuštění: Volných bajtů: 51,084,513,280

120

A z hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:42, on 30.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZSman000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4221 bytes

Díky moc.

Reklama

Příspěvekod **jaro3** » 01 pro 2008 20:27

Vítej na fóru PC-HELP!

Nedávej logy do testovacího fóra! Patří do sekce HiJackThis.

Žádnou nákazu tam nevidím..
Pozůstatky po Avastu:c:\program files\Alwil Software
Po Kaspersky:
c:\windows\system32\drivers\fidbox.dat
c:\windows\system32\drivers\fidbox.idx
Najdi a smaž..
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000000

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu .

v.zicha · Příspěvekod **v.zicha** » 01 pro 2008 21:20

Snažil jsem se postupovat podle návodu, ale po spuštění "Notepad" se mi zobrazila prázdná stránka. Ještě mám roblém s tím, že se z Pc z kterého je log nemohu připojit. Píše to, že tam chybí nějaká část c: disku a nelze spustit prohlíčeč. Omlouvám se za umístění na toto fórum.

Příspěvekod **jaro3** » 01 pro 2008 21:37

Do notepadu musíš zkopírovat ten script myší.
S chybějící částí bude problém, napiš co chybí. Nejlépe by bylo vložit CD s XP a pokusit se opravit windows.Jiný prohlížeč nemáš?
Zkontroluj nastavení připojení k netu.
Případně někdo poradí, budu tady až zítra.

v.zicha · Příspěvekod **v.zicha** » 01 pro 2008 21:54

Připojil jsem okna které se zobrazují při spuštění systému. Možná to něco vypoví.Díky.

Příspěvekod **jaro3** » 01 pro 2008 22:03

Odinstaluj MYWEBSEARCH.

Stáhni si SDFix
- Spusť ho a rozbalí se ti na disk kde je nainstalovaný Windows (typicky to je C:\SDfix)
- Pak restartuj PC do nouzového režimu (zvol možnost: Stav nouze, ne Stav nouze s práci v síti)
- Otevři adresář kde je vybalený SDFix a spusť soubor RunThis.bat tím spustíš program.
* Pak stiskni klávesu Y a pak Enter pro zahájení čistícího procesu.
* Pro dokončení kontroly budeš vyzván ke stisknutí libovolné klávesy a počítač se restartuje.
* Při nabíhání operačního systému se program spustí znovu a dokončí čistící proces. Až se objeví Finish, budeš muset po vyzvání stisknout libovolnou klávesu, tim se ukončí program a zobrazí se ti ikony na ploše
- Když se skončí načítání ikon na ploše, otevře se ti na obrazovce log z SDFix a zároveň ho uloží do adresáře kde je rozbalený SDFix jako soubor Report.txt
Pak sem zkopíruj jeho obsah + nový log z HJT+ mrkni se jestli ti pod Startem nechybí nějaké ikony, zobrazují se ti disky pod Tento počítač....
Zítra se podívám.

v.zicha · Příspěvekod **v.zicha** » 01 pro 2008 22:27

Zde přikládám log vytvořený (doufám) podle výše uvedeného návodu:

ComboFix 08-11-30.01 - Tibor 2008-12-01 22:06:35.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.224 [GMT 1:00]
Spuštěný z: D:\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Tibor\Plocha\CFScript.txt
* Vytvořen nový Bod Obnovení
* Resident AV is active

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2008-11-01 do 2008-12-01 )))))))))))))))))))))))))))))))
.

2008-11-30 19:25 . 2008-11-30 19:25 <DIR> d-------- c:\program files\Trend Micro
2008-11-30 16:08 . 2008-12-01 20:55 <DIR> d-------- c:\program files\Alwil Software
2008-11-29 17:18 . 2008-11-29 17:18 <DIR> d-------- c:\program files\Microsoft Games
2008-11-25 19:26 . 2008-11-30 19:27 <DIR> d-------- c:\program files\SUPERAntiSpyware
2008-11-25 19:26 . 2008-11-30 19:27 <DIR> d-------- c:\documents and settings\Tibor\Data aplikací\SUPERAntiSpyware.com
2008-11-25 19:26 . 2008-11-25 19:26 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\SUPERAntiSpyware.com
2008-11-25 19:17 . 2008-12-01 22:15 5,576,736 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-25 19:17 . 2008-12-01 22:09 66,380 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-25 19:09 . 2008-11-25 19:09 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MailFrontier
2008-11-25 19:08 . 2008-07-09 09:05 75,248 --a------ c:\windows\zllsputility.exe
2008-11-25 19:07 . 2008-07-09 09:05 1,086,952 --a------ c:\windows\system32\zpeng24.dll
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d-------- c:\documents and settings\Administrator\Plocha
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d--h----- c:\documents and settings\Administrator\Okolní tiskárny
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d--h----- c:\documents and settings\Administrator\Okolní síť
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d-------- c:\documents and settings\Administrator\Oblíbené položky
2008-11-25 16:34 . 2008-08-24 15:06 <DIR> d--h----- c:\documents and settings\Administrator\Šablony
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> dr------- c:\documents and settings\Administrator\Nabídka Start
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> d-------- c:\documents and settings\Administrator\Dokumenty
2008-11-25 16:34 . 2008-08-24 16:54 <DIR> dr-h----- c:\documents and settings\Administrator\Data aplikací
2008-11-25 16:34 . 2008-11-25 16:34 <DIR> d-------- c:\documents and settings\Administrator
2008-11-24 20:26 . 2008-11-24 20:26 <DIR> d-------- c:\program files\QIP
2008-11-16 10:50 . 2008-11-16 10:50 <DIR> d-------- c:\program files\Zoner
2008-11-01 18:36 . 2008-11-16 10:51 <DIR> d-------- c:\documents and settings\Tibor\Data aplikací\Zoner

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 18:08 1,803,387 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-11-26 21:02 --------- d-----w c:\documents and settings\Tibor\Data aplikací\Skype
2008-11-26 15:03 --------- d-----w c:\documents and settings\Tibor\Data aplikací\skypePM
2008-11-25 20:01 --------- d-----w c:\program files\ESET
2008-11-12 18:27 230,432 ----a-w C:\PA7302.DAT
2008-11-12 14:42 101,267 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_11_18_51_50_small.dmp.zip
2008-11-11 17:50 94,245 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_11_15_26_04_small.dmp.zip
2008-11-10 19:06 121,848 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_10_16_46_30_small.dmp.zip
2008-11-10 14:23 95,549 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_10_08_47_54_small.dmp.zip
2008-11-09 09:54 140,893 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_09_10_48_49_small.dmp.zip
2008-10-24 18:09 --------- d-----w c:\documents and settings\Tibor\Data aplikací\Ahead
2008-10-24 13:41 --------- d-----w c:\documents and settings\Tibor\Data aplikací\ICQ
2008-10-07 15:22 2,512,384 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-08-28 15:46 35,124,856 ----a-w c:\program files\AdbeRdr90_en_US.exe
2008-08-24 14:44 32 ----a-w c:\documents and settings\All Users\Data aplikací\ezsid.dat
2001-11-23 10:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
2008-08-28 15:06 79 --sh--r c:\windows\CT4CET.bin
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2008-08-24 949376]
"PAC7302_Monitor"="c:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2008-08-28 222456]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
R3 ReallusionVirtualAudio;Reallusion Virtual Audio;c:\windows\system32\DRIVERS\RLVrtAuCbl.sys [2008-08-28 31616]
S3 ati2mtaa;ati2mtaa;c:\windows\system32\DRIVERS\ati2mtaa.sys [2008-08-26 326912]
S3 PAC7302;Eye 312;c:\windows\system32\DRIVERS\PAC7302.SYS [2008-08-28 457856]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-01 22:14:24
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(812)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\ESET\nod32krn.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2008-12-01 22:16:22 - počítač byl restartován [Tibor]
ComboFix-quarantined-files.txt 2008-12-01 21:16:17
ComboFix2.txt 2008-11-30 18:23:42
ComboFix3.txt 2008-11-30 18:11:39

Před spuštěním: Volných bajtů: 51 037 122 560
Po spuštění: Volných bajtů: 51,009,830,912

109

v.zicha · Příspěvekod **v.zicha** » 01 pro 2008 23:07

A zde je log vytvořený SDfix:

SDFix: Version 1.240
Run by Tibor on po 01.12.2008 at 22:46

Microsoft Windows XP [Verze 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-01 22:49:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?v?e?l?k?é?)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?n?e?j?v?\e\1t?a\1í?)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

Files with Hidden Attributes :

Wed 24 Sep 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Finished!

a zde následně z hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:54:18, on 1.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZSman000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4010 bytes

Díky za pomoc

Příspěvekod **jaro3** » 02 pro 2008 08:51

Fix v HJT:

Kód: Vybrat vše

R3 - URLSearchHook: (no name) - - (no file)
O8 - Extra context menu item: &amp;Search - http://edits.mywebsearch.com/toolbaredi ... p=ZSman000

Najdi a smaž:
C:\SDFix

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u
vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš>spustíš
Nainstaluj javu:
Java SE Runtime Environment 6u10

Vyber OS ( předpokládám Windows), zatržítko agree-continue
Vyber:
Windows Offline Installation
jre-6u10-windows-i586-p.exe
Ostatní javy odeber v přidat/odebrat programy.
Napiš jak to vypadá.

v.zicha · Příspěvekod **v.zicha** » 02 pro 2008 20:32

Zde je nový log z HJT s fix:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:27, on 2.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZSman000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4081 bytes

v.zicha · Příspěvekod **v.zicha** » 02 pro 2008 20:40

A ještě jsem dodatečně odstranil "MYWEBSEARCH"

Příspěvekod **jaro3** » 02 pro 2008 20:45

jj, ještě fix ( zavři ostatní aplikace a prohlížeče, odpoj se od netu):

Kód: Vybrat vše

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - - (no file)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZSman000

tedy pokud tam ještě je ta položka 08...
Jinak vše.

PROSÍM O KONTROLU LOGU Vyřešeno

PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Re: PROSÍM O KONTROLU LOGU

Kdo je online