PC-HELP.CZ

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\smgcwe.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fns.uniba.sk/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\lssas.exe
O4 - HKLM\..\Run: [Microsoft Windows Services] winservces.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Services] winservces.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [user] C:\Documents and Settings\user\user.exe /i
O4 - HKCU\..\RunServices: [UpdteCenter] hvaufkxngcdgl.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6456572504
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F999961-909B-4B2B-ACCE-611FDB2D650C}: NameServer = 158.195.40.1,158.195.2.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F999961-909B-4B2B-ACCE-611FDB2D650C}: NameServer = 158.195.40.1,158.195.2.2

--
End of file - 2642 bytes

Log není celý, schází začátek , nicméně je to pěkně zavirovaný , nejprve:
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

sorry tu je ten vrch

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:07, on 21.5.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

a este prikaladam virustotal: http://www.virustotal.com/cs/analisis/0 ... 91ccdfa88e

fajn, je v system32 ?
Udělej nejprve ten MbAM.

Malwarebytes' Anti-Malware 1.36
Verzia databázy: 2161
Windows 5.1.2600 Service Pack 2

21.5.2009 11:11:59
mbam-log-2009-05-21 (11-11-54).txt

Typ kontroly: Rýchla
Objektov kontrolovaných: 82514
Uplynutý cas: 5 minute(s), 9 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 5
Infikovaných registracných hodnôt: 2
Infikovaných registracných údajov položiek: 0
Infikovaných priecinkov: 0
Infikovaných súborov: 2

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED (Backdoor.Bot) -> No action taken.

Infikovaných registracných hodnôt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\local security authority service (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Services (Backdoor.Bot) -> No action taken.

Infikovaných registracných údajov položiek:
(Žiadne škodlivé položky)

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\lssas.exe (Backdoor.Bot) -> No action taken.

jaro3 píše:fajn, je v system32 ?
Udělej nejprve ten MbAM.

jj.. je v system32

joj a este som zabudol vypnut nod32 vadi to moc?

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.

Vypni rez. ochranu u NOD32.
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
******************************************************************************************************************************************
Start-spustit-napiš: notepad .do něho vlož tento celý text:

uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

budu tady na chvíli asi za 1-2hodiny , pak až večer..

nevadí..ale budu až večer..

Malwarebytes' Anti-Malware 1.36
Verzia databázy: 2161
Windows 5.1.2600 Service Pack 2

21.5.2009 14:01:07
mbam-log-2009-05-21 (14-01-07).txt

Typ kontroly: Rýchla
Objektov kontrolovaných: 82390
Uplynutý cas: 4 minute(s), 48 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 5
Infikovaných registracných hodnôt: 2
Infikovaných registracných údajov položiek: 0
Infikovaných priecinkov: 0
Infikovaných súborov: 2

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED (Backdoor.Bot) -> Quarantined and deleted successfully.

Infikovaných registracných hodnôt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\local security authority service (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Services (Backdoor.Bot) -> Quarantined and deleted successfully.

Infikovaných registracných údajov položiek:
(Žiadne škodlivé položky)

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lssas.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

ComboFix 09-05-20.A0 - user 21.05.2009 14:13.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.421.1033.18.223.86 [GMT 2:00]
Running from: c:\documents and settings\user\Desktop\ComboFix.exe
AV: Eset NOD32 Antivirus 2.70 *On-access scanning enabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\shruti.ttf
c:\windows\IE4 Error Log.txt
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\drmstor.dll
c:\windows\system32\foxokkwc.exe
c:\windows\system32\ipomwe.exe
c:\windows\system32\ntlsapi.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32


((((((((((((((((((((((((( Files Created from 2009-04-21 to 2009-05-21 )))))))))))))))))))))))))))))))
.

2009-05-21 09:02 . 2009-05-21 09:02 -------- d-----w c:\documents and settings\user\Application Data\Malwarebytes
2009-05-21 09:02 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-21 09:02 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-21 09:02 . 2009-05-21 09:02 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-05-21 09:02 . 2009-05-21 09:02 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-21 07:37 . 2009-05-21 07:37 87552 ----a-w c:\windows\system32\smgcwe.exe
2009-05-07 11:11 . 2009-05-07 11:11 20970 ----a-w c:\windows\system32\raeyhab.exe
2009-05-07 10:53 . 2009-05-07 10:53 20970 ----a-w c:\windows\system32\azbp.exe
2009-05-07 10:44 . 2009-05-07 10:44 20970 ----a-w c:\windows\system32\klmmp.exe
2009-05-07 10:37 . 2009-05-07 10:37 20970 ----a-w c:\windows\system32\wwlrejf.exe
2009-05-07 09:43 . 2009-05-07 09:43 20970 ----a-w c:\windows\system32\vswygr.exe
2009-05-07 07:34 . 2009-05-07 07:34 20970 ----a-w c:\windows\system32\zjaxbe.exe
2009-05-06 08:18 . 2009-05-06 08:18 20970 ----a-w c:\windows\system32\bthavxyo.exe
2009-05-05 10:44 . 2009-05-05 10:44 20970 ----a-w c:\windows\system32\aamtvnl.exe
2009-05-04 13:11 . 2009-05-04 13:11 20970 ----a-w c:\windows\system32\hndfonio.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 12:02 . 2004-10-06 12:26 -------- d-----w c:\program files\ESET
2009-05-11 11:18 . 2004-11-24 09:42 -------- d-----w c:\program files\Common Files\Adobe
2009-04-02 10:53 . 2009-04-02 10:53 102446 ----a-w c:\windows\system32\msvcrt2.dll
2009-03-06 14:44 . 2003-03-31 12:00 283648 ----a-w c:\windows\system32\pdh.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2004-01-15 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\VTTimer.exe"=
"c:\\WINDOWS\\system32\\smgcwe.exe"=

R3 PSched;QoS Packet Scheduler;c:\windows\system32\drivers\psched.sys [31.3.2003 14:00 69120]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-user - c:\documents and settings\user\user.exe
HKCU-RunServices-UpdteCenter - hvaufkxngcdgl.exe
SafeBoot-netmon32


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.fns.uniba.sk/
TCP: {3F999961-909B-4B2B-ACCE-611FDB2D650C} = 158.195.40.1,158.195.2.2
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 14:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


c:\docume~1\user\LOCALS~1\Temp\Perflib_Perfdata_300.dat 0 bytes

scan completed successfully
hidden files: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(1652)
c:\windows\system32\msi.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\CNAB4RPK.EXE
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Completion time: 2009-05-21 14:21 - machine was rebooted
ComboFix-quarantined-files.txt 2009-05-21 12:21

Pre-Run: 35 962 130 432 bytes free
Post-Run: 16 adresárov, 36 071 514 112 voľných bajtov

107 --- E O F --- 2009-05-21 12:07

Zväzok v jednotke C nemá žiadnu menovku.
Sériové číslo zväzku je 5CD9-3092

Výpis adresára C:\WINDOWS\$NtServicePackUninstall$

31.03.2003 14:00 11 776 lsass.exe
1 súborov, 11 776 bajtov

Výpis adresára C:\WINDOWS\ServicePackFiles\i386

04.08.2004 09:56 13 312 lsass.exe
1 súborov, 13 312 bajtov

Výpis adresára C:\WINDOWS\SoftwareDistribution\Download\cf8ec753e88561d2ddb53e183dc05c3e

14.04.2008 02:12 13 312 lsass.exe
1 súborov, 13 312 bajtov

Výpis adresára C:\WINDOWS\system32

04.08.2004 09:56 13 312 lsass.exe
1 súborov, 13 312 bajtov

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
*****************************************************************************************************************************************
Toto otestuj na Virustotal
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\system32\dllcache\lssas.exe --nejspíše tam není , dle výpisu..
C:\WINDOWS\ServicePackFiles\i386\lssas.exe
Vlož sem pak odkazy výsledků.