NewHeur_PEvirus

[Evson]

Dobrý den, včera jsem kamarádovi instalovala antivir (do té doby neměl, protože si myslel, že bez připojení k internetu mu nic nehrozí) a NOD32 našel vir NewHeur_PEvirus v:

Local Settings/Temp/setup_m.exe
C:WINDOWS/winlogon.exe

Můžete mi poradit, jak se ho zbavit....ten winlogon smazat přece nemůžu.

Děkuji Evson

[Reklama]

[pitimir]

Ahoj, je rozdiel medzi C:WINDOWS/winlogon.exe a C:\WINDOWS\system32\winlogon.exe - spravny je len ten druhy

Stiahni ComboFix, najlepsie na plochu. Vypni vsetky otvorene aplikacie, ako aj rezidenty antiviru, antispywaru a firewall. Spust program cez ucet s administratorskymi pravami a postupuj podla instrukcii. Cely sken bude trvat cca 10 minut. Pocas neho moze byt PC restartovane. Log, ktory ComboFix vytvori, najdes na adrese "C:\ComboFix.txt".
Ten vloz sem.

Pozor: Kym ComboFix nevytvori log, na nic neklikat, nic nestlacat !!

[Evson]

Mám to ale štěstí!!! Jelikož kamarád bude mít internet až v pondělí, udělala jsem si za ním půldenní výlet s ComboFixem, stáhla log na flashku a můj notebook mi teď doma(a to opravdu nevím proč) tu flashku nechce načíst, prostě ji nevidí. Takže budu muset kamaráda v pondelí navigovat,jak ten log udělat, a pak mi ho pošle mailem.....

...z té tvé zprávy vyplývá, že ty soubory můžu bez problémů smazat?

[pitimir]

Ano...ale pochybujem, ze sa to podari :)

[Stene]

Raději to nemaž.

[pitimir]

@Stene: A preco nie?

[Stene]

Nikdy jsem nic ze složky windows nemazal. Vlož HJT log do správné sekce a počkej na odpověď odborníků.

[jaro3]

To stene , prosím ,pokud tomu nerozumíš , tak nezasahuj.

To evson , postupuj podle rad pitimira!

[Evson]

Ahojte, tak jsem si udělala výlet ještě jednou, smazala jsem ty dva soubory, projela jsem to tim comco fixem a tady je log.

Děkuji moc

ComboFix 09-10-28.02 - DANIEL 30.10.2009 12:59.2.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2046.1220 [GMT 1:00]
Spuštěný z: c:\documents and settings\DANIEL\Plocha\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-09-28 do 2009-10-30 )))))))))))))))))))))))))))))))
.

2009-10-30 09:54 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-30 09:54 . 2009-10-30 09:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-30 09:54 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-28 22:39 . 2009-10-28 22:39 -------- d-----w- c:\documents and settings\DANIEL\Saved Games
2009-10-27 16:19 . 2009-10-27 16:19 -------- d-----w- c:\documents and settings\All Users\Data aplikac
2009-10-26 16:23 . 2009-10-26 16:23 -------- d-----w- c:\program files\Route 66
2009-10-26 16:19 . 2009-10-26 16:24 -------- d-----w- c:\program files\Sherlock Holmes - The Mystery of the Persian Carpet
2009-10-26 16:07 . 2009-10-26 16:07 -------- d-----w- c:\program files\Campfire Legends - The Hookman
2009-10-26 16:01 . 2009-10-26 16:02 -------- d-----w- c:\program files\Agatha Christie - Dead Mans Folly
2009-10-26 16:00 . 2009-10-26 16:00 -------- d-----w- c:\program files\Passport-2-Perfume
2009-10-26 15:54 . 2009-10-26 15:54 -------- d-----w- c:\program files\Nanny 911
2009-10-26 15:41 . 2009-10-26 15:42 -------- d-----w- c:\program files\Fill Up
2009-10-26 15:41 . 2009-10-26 15:41 -------- d-----w- c:\windows\Fill Up
2009-10-26 15:12 . 2009-10-26 15:12 -------- d-----w- c:\program files\CCleaner
2009-10-26 15:09 . 2009-10-26 15:09 0 ----a-w- c:\windows\nsreg.dat
2009-10-26 15:09 . 2009-10-26 15:08 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-26 15:08 . 2009-10-26 15:08 -------- d-----w- c:\program files\Java
2009-10-26 15:05 . 2009-10-26 15:48 -------- d-----w- c:\program files\ESET
2009-10-26 14:59 . 2009-10-26 15:03 -------- d-----w- c:\program files\Blood Ties
2009-10-26 14:52 . 2009-10-30 10:10 -------- d-----w- c:\windows\Angela Young 2 - Escape the Dreamscape
2009-10-26 14:40 . 2009-10-26 16:04 -------- d-----w- c:\program files\LeeGTs Games
2009-10-12 08:38 . 2006-12-27 22:00 66560 ----a-w- c:\windows\system32\eswia7e.dll
2009-10-12 08:38 . 2006-12-27 22:00 208896 ----a-w- c:\windows\system32\esint7e.dll
2009-10-12 08:38 . 2006-03-09 22:00 3584 ----a-w- c:\windows\system32\eswiaml.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-27 13:50 . 2009-04-01 12:30 -------- d-----w- c:\program files\Emergency 4
2009-10-26 16:17 . 2009-09-24 08:55 -------- d-----w- c:\program files\Games
2009-10-26 15:23 . 2008-10-25 08:50 -------- d-----w- c:\program files\OpenOffice.org 3
2009-10-25 07:27 . 2004-08-18 12:00 69926 ----a-w- c:\windows\system32\perfc005.dat
2009-10-25 07:27 . 2004-08-18 12:00 392918 ----a-w- c:\windows\system32\perfh005.dat
2009-10-13 08:25 . 2009-04-15 11:26 -------- d-----w- c:\program files\Wanted Guns
2009-10-12 08:44 . 2008-10-24 10:07 -------- d-----w- c:\program files\epson
2009-10-12 08:42 . 2007-11-09 15:07 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-11 16:10 . 2009-09-07 12:25 -------- d-----w- c:\program files\Cesta kolem světa za 80 dní
2009-10-05 17:40 . 2009-04-15 12:06 -------- d-----w- c:\program files\Shockwave.com
2009-10-04 19:07 . 2009-04-13 15:30 -------- d-----w- c:\program files\Hidden Expedition Titanic
2009-10-03 13:20 . 2009-04-15 11:59 -------- d-----w- c:\program files\Paradise Pet Salon
2009-10-02 16:22 . 2009-08-20 08:45 -------- d-----w- c:\program files\The Show
2009-10-01 09:33 . 2009-04-13 14:21 -------- d-----w- c:\program files\Numericon
2009-09-24 09:39 . 2009-09-24 09:38 -------- d-----w- c:\program files\Operation Mania
2009-09-24 09:36 . 2009-09-24 09:36 -------- d-----w- c:\program files\Hidden Mysteries Buckingham Palace
2009-09-24 09:35 . 2009-09-24 09:35 -------- d-----w- c:\program files\Forgotten Lands The First Colony
2009-09-24 09:00 . 2009-09-24 09:00 -------- d-----w- c:\program files\Beach Party
2009-09-24 08:57 . 2009-09-24 08:57 -------- d-----w- c:\program files\Alawar
2009-09-24 08:57 . 2009-09-24 08:57 77824 ----a-w- c:\windows\adobeupdk.exe
2009-09-24 08:54 . 2009-09-24 08:54 -------- d-----w- c:\program files\Youda Legend The Curse of the Amsterdam Diamond
2009-09-24 08:46 . 2009-09-24 08:46 -------- d-----w- c:\program files\The Mystery of the Mary Celeste
2009-09-24 08:46 . 2009-09-24 08:46 -------- d-----w- c:\program files\Family Mystery - The Story of Amy
2009-09-23 04:34 . 2009-09-23 04:34 -------- d-----w- c:\program files\Compedia
2009-09-22 17:15 . 2009-09-22 17:15 -------- d-----w- c:\program files\THQ
2009-09-05 09:29 . 2009-04-13 15:47 -------- d-----w- c:\program files\Carrie the Caregiver
2009-08-11 10:35 . 2008-12-20 09:56 172032 ----a-w- c:\windows\system32\cncs32.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-10-29_09.30.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-30 09:58 . 2009-10-30 09:58 16384 c:\windows\Temp\Perflib_Perfdata_79c.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-07-20 81920]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 356352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-12-20 37376]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-02-06 2021400]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-26 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-10-25 16855552]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-16 1630208]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Aktualizovat ESET licenci.lnk - c:\program files\ESET\MiNODLogin\MiNODLogin.exe [2009-8-22 125952]
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-5-12 581693]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Picture Package Menu.lnk - c:\program files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe [2008-10-31 151552]
Picture Package VCD Maker.lnk - c:\program files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2008-10-31 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Codemasters\\GRID\\GRID.exe"=
"c:\\Program Files\\Warthog\\Rally Championship Xtreme\\Rally.exe"=
"c:\\Program Files\\Emergency 4\\Em4.exe"=
"c:\\Program Files\\MotoGP2\\motogp2.exe"=
"c:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\adobeupdk.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6.2.2009 14:23 106208]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [6.2.2009 14:23 727720]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - mbr
.
Obsah adresáře 'Naplánované úlohy'

2009-09-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.yahoo.com
mStart Page = hxxp://www.yahoo.com
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Send To &Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\DANIEL\Data aplikací\Mozilla\Firefox\Profiles\zhk126vf.default\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-30 13:05
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1112)
c:\windows\system32\ACTIVEDS.dll

- - - - - - - > 'explorer.exe'(3160)
c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2009-10-30 13:06
ComboFix-quarantined-files.txt 2009-10-30 12:06
ComboFix2.txt 2009-10-29 09:31

Před spuštěním: Volných bajtů: 142 687 518 720
Po spuštění: Volných bajtů: 142 647 160 832

- - End Of File - - 1AF975B2A9E112241F0AE8EACF10CF44

[pitimir]

Kolko krat bol CF spusteny? 2x?
Mrkni sa na C-cko, ci su tam 2 textove dokumenty - C:\ComboFix.txt a ComboFix2.txt.

Obsah oboch sem vloz.

[Evson]

No jednou byl spusteny pred smazanim tech souboru a podruhe po smazani...ten log je tu....

[pitimir]

Tak by som rad videl ten prvy log.