Dobry den,
Comodo mi naslo nasledujici:
Trojan.Win32.Patched.m(ID = 0x7882c) C:\WINDOWS\system32\dllcache\winlogon.exe
Trojan.Win32.Patched.m(ID = 0x7882c) C:\WINDOWS\system32\winlogon.exe
kdyz jsem dal bezmyslenkovite "delete infected files" uz sem se po restartu nenabootoval. Zformatoval jsem systemovy disk a preinstaloval widle.
Instaloval jsem opet Comodo a to mi opet naslo infekci ale jen jednu z nich. Dal jsem "quarantined" a situace se opakovala, uz jsem se nerestartoval.
Po druhem kompletnim zformatovani tam trojan stale je...
uz si naprosto nevim rady, vyzkousel jsem hodne antiviru, spy..., adaware..., nic jineho nez comodo to nenajde, ale comodem to nejsem schopnej fixnout...
pridavam hijack, ale nic v tom nevidim...
Logfile of HijackThis v1.99.1
Scan saved at 19:21:16, on 1.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Conexant\AccessRunner ADSL USB\CnxDslTb.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Mikuláš Nevan\Plocha\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Conexant\AccessRunner ADSL USB\CnxDslTb.exe" "Conexant\AccessRunner ADSL USB"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CF20297-5E7B-4FDE-8A26-B8E7403F5B7A}: NameServer = 195.250.128.34 195.250.128.234
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
Moc prosim, nevite nekdo co s tim?
Diky newan!!
Trojan.Win32.Patched.m(ID = 0x7882c) C:\WINDOWS\system32\win
Zdravím...
C:\WINDOWS\system32\winlogon.exe je standartní umístění systémového souboru. Že by byl infikovaný?
Můžeš ho otestovat na http://www.virustotal.com
Nic nebezpečného v logu vidět není, je to vzorný log, což ovšem neznamená, že nemáš v pc viry. Takže to projeď ComboFixem:
Stáhněte a uložte na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
spusťte aplikaci pod účtem s administrátorským oprávněním - zavřete všechny spuštěné programy - následuje licenční ujednání, klikněte na Ano - začne se testovat (celá akce trvá cca. 5-10 minut, někdy i trochu déle) - během skenu se nepokoušejte spouštět žádne jiné aplikace a neklikejte do okna ComboFixu - po dokončení se automaticky otevře okno poznámkového bloku s textem (pokud se tak nestane, log je v C:\ComboFix.txt), který sem pomocí známých klávesových zkratek Ctrl + A (označení celého textu) -> Ctrl + C (uložení do jakési schránky) -> Ctrl + V (vložení textu) zkopírujte - a počkejte na další postup
VAROVÁNÍ: Pokud se vám zobrazí "CRITICAL WARNING !!" nesmíte restartovat počítač, o varování napište.
VAROVÁnÍ2: Je možné, že při testu budou různé bezpečnostní programy hlásit neoprávněný pokus o smazání daného souboru či něco jiného. Povolte jejich případné dotazy nebo na dobu scanu úplně vypněte rezidentní modul daného programu.
C:\WINDOWS\system32\winlogon.exe je standartní umístění systémového souboru. Že by byl infikovaný?
Můžeš ho otestovat na http://www.virustotal.com
Nic nebezpečného v logu vidět není, je to vzorný log, což ovšem neznamená, že nemáš v pc viry. Takže to projeď ComboFixem:
Stáhněte a uložte na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
spusťte aplikaci pod účtem s administrátorským oprávněním - zavřete všechny spuštěné programy - následuje licenční ujednání, klikněte na Ano - začne se testovat (celá akce trvá cca. 5-10 minut, někdy i trochu déle) - během skenu se nepokoušejte spouštět žádne jiné aplikace a neklikejte do okna ComboFixu - po dokončení se automaticky otevře okno poznámkového bloku s textem (pokud se tak nestane, log je v C:\ComboFix.txt), který sem pomocí známých klávesových zkratek Ctrl + A (označení celého textu) -> Ctrl + C (uložení do jakési schránky) -> Ctrl + V (vložení textu) zkopírujte - a počkejte na další postup
VAROVÁNÍ: Pokud se vám zobrazí "CRITICAL WARNING !!" nesmíte restartovat počítač, o varování napište.
VAROVÁnÍ2: Je možné, že při testu budou různé bezpečnostní programy hlásit neoprávněný pokus o smazání daného souboru či něco jiného. Povolte jejich případné dotazy nebo na dobu scanu úplně vypněte rezidentní modul daného programu.
tak asi nic;)
Diky,
postupoval jsem podle tebe. virustotal sice neco nasel (2/32), castecne shodne jako comodo, ale zjistil jsem na dalsich kompech, ze to je to same, tak je to asi jen nejaky slendr..
pridavam jeste MWAV, ktery nasel cosi a log z Combofix, kdyby jste se na to jeste mrkli.
Virus Total:
Soubor winlogon.exe přijatý 2008.03.01 20:09:52 (CET)
Současný stav: Dokončeno
Výsledek: 2/32 (6.25%)
Antivirus Verze Poslední aktualizace Výsledek
eSafe 7.0.15.0 2008.02.28 Win32.Agent.ha
Ikarus T3.1.1.20 2008.03.01 Trojan.Win32.Agent.HA
Rozšiřující informace
File size: 502272 bytes
MD5: 221c29ae1b4cc61d11d8b27de78b2307
SHA1: b88e9fc2e1205559e3fc8c3b562ec45b56bb2595
PEiD: -
Soubor winlofgzh.exe přijatý 2008.02.28 08:28:22 (CET)
Současný stav: Dokončeno
Výsledek: 2/32 (6.25%)
Antivirus Verze Poslední aktualizace Výsledek
eSafe 7.0.15.0 2008.02.28 Win32.Agent.ha
Ikarus T3.1.1.20 2008.03.01 Trojan.Win32.Agent.HA
Rozšiřující informace
MD5: 221c29ae1b4cc61d11d8b27de78b2307
SHA1: b88e9fc2e1205559e3fc8c3b562ec45b56bb2595
SHA256: 70f824164fc862aaaf740dee7d6f77f78d51a27ee1caec344a203f58b7dddbaa
SHA512: 26f716715882bafb181aeb7385ee2414aea6cbb5e39f7f00ae4d831f55a8647c c25b60de98a94fc7fd5610c40097357dde9297471bf810b2d2ac6cb73681fc66
ComboFix
ComboFix 08-03-01.3 - User 2008-03-02 13:58:28.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.741 [GMT 1:00]
Running from: C:\Documents and Settings\User\Plocha\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
The following files were disabled during the run:
C:\WINDOWS\system32\guard32.dll
((((((((((((((((((((((((( Files Created from 2008-02-02 to 2008-03-02 )))))))))))))))))))))))))))))))
.
2008-03-02 13:01 . 2008-03-02 13:02 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-03-02 12:37 . 2008-03-02 12:37 390 --a------ C:\WINDOWS\ODBC.INI
2008-03-02 12:36 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-03-02 12:34 . 2008-03-02 12:35 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-03-02 12:34 . 2008-03-02 12:34 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-03-02 01:11 . 2008-03-02 01:11 <DIR> d-------- C:\Program Files\Lavasoft
2008-03-02 01:11 . 2008-03-02 01:11 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\Lavasoft
2008-03-02 01:01 . 2008-03-02 01:02 <DIR> d-------- C:\Program Files\Winamp
2008-03-02 01:01 . 2008-03-02 01:35 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\Winamp
2008-03-02 00:51 . 2008-03-02 00:51 <DIR> d-------- C:\WINDOWS\LastGood
2008-03-01 23:49 . 2008-03-01 23:49 <DIR> d-------- C:\Program Files\QIP
2008-03-01 20:38 . 2008-02-28 20:06 139,008 --a------ C:\WINDOWS\system32\guard32.dll.vir
2008-03-01 20:00 . 2004-08-18 13:00 389,632 --a------ C:\CF12355.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-01 19:48 . 2008-03-01 19:51 50 --a------ C:\WINDOWS\Lic.xxx
2008-03-01 19:47 . 2004-08-18 13:00 147,968 --a------ C:\WINDOWS\R.COM
2008-03-01 19:47 . 2004-08-18 13:00 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-03-01 19:02 . 2008-03-02 13:54 <DIR> d-------- C:\WINDOWS\$hf_mig$
2008-03-01 19:02 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-01 00:34 . 2008-03-01 00:34 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\CyberLink
2008-03-01 00:28 . 2008-03-02 00:49 <DIR> d-------- C:\Program Files\Webteh
2008-03-01 00:27 . 2008-03-01 00:27 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\CyberLink
2008-03-01 00:26 . 2008-03-01 00:26 <DIR> d-------- C:\Program Files\CyberLink
2008-03-01 00:22 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-03-01 00:22 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-03-01 00:22 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-01 00:22 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-03-01 00:22 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-02-29 23:57 . 2008-02-29 23:57 <DIR> d-------- C:\Program Files\Codec Pack - All In 1
2008-02-29 23:57 . 2008-02-29 23:56 737,280 --a------ C:\WINDOWS\iun6002.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 12:56 --------- d-----w C:\Program Files\PeerGuardian2
2008-03-01 17:53 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\avg7
2008-03-01 15:01 --------- d-----w C:\Documents and Settings\User\Data aplikací\AVG7
2008-02-29 23:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-28 19:23 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-02-28 19:23 --------- d-----w C:\Documents and Settings\LocalService\Data aplikací\AVG7
2008-02-28 19:22 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\Grisoft
2008-02-28 19:17 --------- d-----w C:\Documents and Settings\User\Data aplikací\ATI
2008-02-28 19:17 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\comodo
2008-02-28 19:13 --------- d-----w C:\Program Files\Intel
2008-02-28 19:07 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-02-28 19:07 --------- d-----w C:\Program Files\ATI Technologies
2008-02-28 19:06 84,856 ----a-w C:\WINDOWS\system32\drivers\cmdguard.sys
2008-02-28 19:06 23,800 ----a-w C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-02-28 19:06 --------- d-----w C:\Program Files\COMODO
2008-02-28 19:06 --------- d-----w C:\Documents and Settings\User\Data aplikací\Comodo
2008-02-28 18:59 --------- d-----w C:\Program Files\Conexant
2008-02-28 18:48 --------- d-----w C:\Program Files\microsoft frontpage
2007-12-07 02:14 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 13:00 15360]
"PeerGuardian"="C:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CnxDslTaskBar"="C:\Program Files\Conexant\AccessRunner ADSL USB\CnxDslTb.exe" [2005-02-04 16:19 278528]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-01 21:05 339968]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-01 22:23 32768]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-02-28 20:06 1502976]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 08:54 77824 C:\WINDOWS\SOUNDMAN.EXE]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-02-28 20:22 579072]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 88363 C:\WINDOWS\AGRSMMSG.exe]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 13:06 40048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 13:00 15360]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-01 22:23 32768]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-28 20:23 219136]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\QIP\\qip.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-28 20:06]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-28 20:06]
R3 CnxEtP;Conexant AccessRunner USB ADSL Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2005-02-04 16:12]
R3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2005-02-04 16:12]
R3 CnxTgNP;Conexant AccessRunner ADSL WAN PPPoE Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNP.sys [2005-02-04 16:12]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 13:00]
R3 usbccgp;Obecný nadřazený ovladač Microsoft USB;C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 23:08]
R3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 SetupNTGLM7X;SetupNTGLM7X;G:\NTGLM7X.sys []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\SETUP.EXE /AUTORUN
\Shell\configure\command - G:\SETUP.EXE
\Shell\install\command - G:\SETUP.EXE
*Newly Created Service* - OSE
*Newly Created Service* - PGFILTER
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 14:00:10
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\guard32.dll
.
Completion time: 2008-03-02 14:00:53
ComboFix-quarantined-files.txt 2008-03-02 13:00:49
ComboFix2.txt 2008-03-01 21:04:39
.
2008-03-02 12:55:44 --- E O F ---
MWAV
Objekt "kazaa Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "regsort Corrupted Adware/Spyware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "remacc.multiwebsurv Generic Malware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\ComPlusMetaData.MsCorHost" odkazuje na neplatný objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\ComPlusMetaData.MsCorHost.2" odkazuje na neplatný objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.PathControl" odkazuje na neplatný objekt "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.Sequence" odkazuje na neplatný objekt "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.SequencerControl" odkazuje na neplatný objekt "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.SpriteControl" odkazuje na neplatný objekt "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.StructuredGraphicsControl" odkazuje na neplatný objekt "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\SymWriter.pdb" odkazuje na neplatný objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "C:\WINDOWS\system32\pxwma.dll". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "C:\WINDOWS\system32\pxinsi64.exe". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "C:\WINDOWS\system32\pxcpyi64.exe". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".jad". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "BSPlayer1". Provedené akce: Nic nebylo provedeno.
diky moc;)
postupoval jsem podle tebe. virustotal sice neco nasel (2/32), castecne shodne jako comodo, ale zjistil jsem na dalsich kompech, ze to je to same, tak je to asi jen nejaky slendr..
pridavam jeste MWAV, ktery nasel cosi a log z Combofix, kdyby jste se na to jeste mrkli.
Virus Total:
Soubor winlogon.exe přijatý 2008.03.01 20:09:52 (CET)
Současný stav: Dokončeno
Výsledek: 2/32 (6.25%)
Antivirus Verze Poslední aktualizace Výsledek
eSafe 7.0.15.0 2008.02.28 Win32.Agent.ha
Ikarus T3.1.1.20 2008.03.01 Trojan.Win32.Agent.HA
Rozšiřující informace
File size: 502272 bytes
MD5: 221c29ae1b4cc61d11d8b27de78b2307
SHA1: b88e9fc2e1205559e3fc8c3b562ec45b56bb2595
PEiD: -
Soubor winlofgzh.exe přijatý 2008.02.28 08:28:22 (CET)
Současný stav: Dokončeno
Výsledek: 2/32 (6.25%)
Antivirus Verze Poslední aktualizace Výsledek
eSafe 7.0.15.0 2008.02.28 Win32.Agent.ha
Ikarus T3.1.1.20 2008.03.01 Trojan.Win32.Agent.HA
Rozšiřující informace
MD5: 221c29ae1b4cc61d11d8b27de78b2307
SHA1: b88e9fc2e1205559e3fc8c3b562ec45b56bb2595
SHA256: 70f824164fc862aaaf740dee7d6f77f78d51a27ee1caec344a203f58b7dddbaa
SHA512: 26f716715882bafb181aeb7385ee2414aea6cbb5e39f7f00ae4d831f55a8647c c25b60de98a94fc7fd5610c40097357dde9297471bf810b2d2ac6cb73681fc66
ComboFix
ComboFix 08-03-01.3 - User 2008-03-02 13:58:28.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.741 [GMT 1:00]
Running from: C:\Documents and Settings\User\Plocha\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
The following files were disabled during the run:
C:\WINDOWS\system32\guard32.dll
((((((((((((((((((((((((( Files Created from 2008-02-02 to 2008-03-02 )))))))))))))))))))))))))))))))
.
2008-03-02 13:01 . 2008-03-02 13:02 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-03-02 12:37 . 2008-03-02 12:37 390 --a------ C:\WINDOWS\ODBC.INI
2008-03-02 12:36 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-03-02 12:34 . 2008-03-02 12:35 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-03-02 12:34 . 2008-03-02 12:34 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-03-02 01:11 . 2008-03-02 01:11 <DIR> d-------- C:\Program Files\Lavasoft
2008-03-02 01:11 . 2008-03-02 01:11 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\Lavasoft
2008-03-02 01:01 . 2008-03-02 01:02 <DIR> d-------- C:\Program Files\Winamp
2008-03-02 01:01 . 2008-03-02 01:35 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\Winamp
2008-03-02 00:51 . 2008-03-02 00:51 <DIR> d-------- C:\WINDOWS\LastGood
2008-03-01 23:49 . 2008-03-01 23:49 <DIR> d-------- C:\Program Files\QIP
2008-03-01 20:38 . 2008-02-28 20:06 139,008 --a------ C:\WINDOWS\system32\guard32.dll.vir
2008-03-01 20:00 . 2004-08-18 13:00 389,632 --a------ C:\CF12355.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-01 19:48 . 2008-03-01 19:51 50 --a------ C:\WINDOWS\Lic.xxx
2008-03-01 19:47 . 2004-08-18 13:00 147,968 --a------ C:\WINDOWS\R.COM
2008-03-01 19:47 . 2004-08-18 13:00 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-03-01 19:02 . 2008-03-02 13:54 <DIR> d-------- C:\WINDOWS\$hf_mig$
2008-03-01 19:02 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-01 00:34 . 2008-03-01 00:34 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\CyberLink
2008-03-01 00:28 . 2008-03-02 00:49 <DIR> d-------- C:\Program Files\Webteh
2008-03-01 00:27 . 2008-03-01 00:27 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\CyberLink
2008-03-01 00:26 . 2008-03-01 00:26 <DIR> d-------- C:\Program Files\CyberLink
2008-03-01 00:22 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-03-01 00:22 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-03-01 00:22 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-01 00:22 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-03-01 00:22 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-02-29 23:57 . 2008-02-29 23:57 <DIR> d-------- C:\Program Files\Codec Pack - All In 1
2008-02-29 23:57 . 2008-02-29 23:56 737,280 --a------ C:\WINDOWS\iun6002.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 12:56 --------- d-----w C:\Program Files\PeerGuardian2
2008-03-01 17:53 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\avg7
2008-03-01 15:01 --------- d-----w C:\Documents and Settings\User\Data aplikací\AVG7
2008-02-29 23:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-28 19:23 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-02-28 19:23 --------- d-----w C:\Documents and Settings\LocalService\Data aplikací\AVG7
2008-02-28 19:22 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\Grisoft
2008-02-28 19:17 --------- d-----w C:\Documents and Settings\User\Data aplikací\ATI
2008-02-28 19:17 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\comodo
2008-02-28 19:13 --------- d-----w C:\Program Files\Intel
2008-02-28 19:07 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-02-28 19:07 --------- d-----w C:\Program Files\ATI Technologies
2008-02-28 19:06 84,856 ----a-w C:\WINDOWS\system32\drivers\cmdguard.sys
2008-02-28 19:06 23,800 ----a-w C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-02-28 19:06 --------- d-----w C:\Program Files\COMODO
2008-02-28 19:06 --------- d-----w C:\Documents and Settings\User\Data aplikací\Comodo
2008-02-28 18:59 --------- d-----w C:\Program Files\Conexant
2008-02-28 18:48 --------- d-----w C:\Program Files\microsoft frontpage
2007-12-07 02:14 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 13:00 15360]
"PeerGuardian"="C:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CnxDslTaskBar"="C:\Program Files\Conexant\AccessRunner ADSL USB\CnxDslTb.exe" [2005-02-04 16:19 278528]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-01 21:05 339968]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-01 22:23 32768]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-02-28 20:06 1502976]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 08:54 77824 C:\WINDOWS\SOUNDMAN.EXE]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-02-28 20:22 579072]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 88363 C:\WINDOWS\AGRSMMSG.exe]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 13:06 40048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 13:00 15360]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-01 22:23 32768]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-28 20:23 219136]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\QIP\\qip.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-28 20:06]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-28 20:06]
R3 CnxEtP;Conexant AccessRunner USB ADSL Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2005-02-04 16:12]
R3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2005-02-04 16:12]
R3 CnxTgNP;Conexant AccessRunner ADSL WAN PPPoE Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNP.sys [2005-02-04 16:12]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 13:00]
R3 usbccgp;Obecný nadřazený ovladač Microsoft USB;C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 23:08]
R3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 SetupNTGLM7X;SetupNTGLM7X;G:\NTGLM7X.sys []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\SETUP.EXE /AUTORUN
\Shell\configure\command - G:\SETUP.EXE
\Shell\install\command - G:\SETUP.EXE
*Newly Created Service* - OSE
*Newly Created Service* - PGFILTER
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 14:00:10
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\guard32.dll
.
Completion time: 2008-03-02 14:00:53
ComboFix-quarantined-files.txt 2008-03-02 13:00:49
ComboFix2.txt 2008-03-01 21:04:39
.
2008-03-02 12:55:44 --- E O F ---
MWAV
Objekt "kazaa Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "regsort Corrupted Adware/Spyware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "remacc.multiwebsurv Generic Malware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\ComPlusMetaData.MsCorHost" odkazuje na neplatný objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\ComPlusMetaData.MsCorHost.2" odkazuje na neplatný objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.PathControl" odkazuje na neplatný objekt "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.Sequence" odkazuje na neplatný objekt "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.SequencerControl" odkazuje na neplatný objekt "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.SpriteControl" odkazuje na neplatný objekt "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\DirectAnimation.StructuredGraphicsControl" odkazuje na neplatný objekt "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\SymWriter.pdb" odkazuje na neplatný objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "C:\WINDOWS\system32\pxwma.dll". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "C:\WINDOWS\system32\pxinsi64.exe". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "C:\WINDOWS\system32\pxcpyi64.exe". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".jad". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "BSPlayer1". Provedené akce: Nic nebylo provedeno.
diky moc;)
MWAV našel jen zbytky virů a špatné záznamy z registru, nic nebezpečného.
Tohle nechte prosím otestovat na http://www.virustotral.com :
C:\WINDOWS\system32\guard32.dll.vir
C:\CF12355.exe
G:\NTGLM7X.sys
Přesuňte Combofix na plochu (pokud ho tam ještě nemáte) - otevřete si poznámkový blok - do něj zkopírujte text z nasledujícího okna:
Text uložte jako CFScript.txt na plochu - po uložení uchopte vámi vytvořený soubor .txt levým tlačítkem myši a přesuňte jej nad ikonu ComboFixu - nad ikonou ComboFixu soubor .txt upusťte - spustí se ComboFix (možná budete muset znova potvrdit licenční podmínky kliknutím na Ano) - a CF začne znova scanovat, nakonci scanování se pokusí CF smazat zadané soubory či něco jiného, co jsme mu zadali - po provedení akce se opět zobrazí okno poznámkového bloku s textem, který sem zkopírujte a vyčkejte prosím na další rady[/code]
Tohle nechte prosím otestovat na http://www.virustotral.com :
C:\WINDOWS\system32\guard32.dll.vir
C:\CF12355.exe
G:\NTGLM7X.sys
Přesuňte Combofix na plochu (pokud ho tam ještě nemáte) - otevřete si poznámkový blok - do něj zkopírujte text z nasledujícího okna:
Kód: Vybrat vše
File::
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]Text uložte jako CFScript.txt na plochu - po uložení uchopte vámi vytvořený soubor .txt levým tlačítkem myši a přesuňte jej nad ikonu ComboFixu - nad ikonou ComboFixu soubor .txt upusťte - spustí se ComboFix (možná budete muset znova potvrdit licenční podmínky kliknutím na Ano) - a CF začne znova scanovat, nakonci scanování se pokusí CF smazat zadané soubory či něco jiného, co jsme mu zadali - po provedení akce se opět zobrazí okno poznámkového bloku s textem, který sem zkopírujte a vyčkejte prosím na další rady[/code]
provedeno
zdravim...
C:\WINDOWS\system32\guard32.dll.vir neexistuje
C:\WINDOWS\system32\guard32.dll ok
C:\CF12355.exe ok
G:\NTGLM7X.sys neexistuje (neco na nejakem instal cd...uz nevim na kterem...)
log z CF
ComboFix 08-03-01.3 - User 2008-03-03 17:39:14.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.880 [GMT 1:00]
Running from: C:\Documents and Settings\User\Plocha\ComboFix.exe
Command switches used :: sfxcmd=C:\Documents and Settings\User\Plocha\CFScript.txt
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
C:\WINDOWS\Lic.xxx
C:\WINDOWS\logo1_.exe
C:\WINDOWS\R.COM
C:\WINDOWS\rundl132.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\system32\T.COM
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\zts2.exe
.
The following files were disabled during the run:
C:\WINDOWS\system32\guard32.dll
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\T.COM
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((((( Files Created from 2008-02-03 to 2008-03-03 )))))))))))))))))))))))))))))))
.
2008-03-02 14:58 . 2008-03-02 14:58 0 --a------ C:\23990098.$$$
2008-03-02 14:09 . 2008-03-02 14:09 <DIR> d-------- C:\WINDOWS\PIF
2008-03-02 13:01 . 2008-03-02 13:02 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-03-02 12:37 . 2008-03-02 12:37 390 --a------ C:\WINDOWS\ODBC.INI
2008-03-02 12:36 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-03-02 12:34 . 2008-03-02 12:35 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-03-02 12:34 . 2008-03-02 12:34 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-03-02 01:11 . 2008-03-02 01:11 <DIR> d-------- C:\Program Files\Lavasoft
2008-03-02 01:11 . 2008-03-02 01:11 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\Lavasoft
2008-03-02 01:01 . 2008-03-02 01:02 <DIR> d-------- C:\Program Files\Winamp
2008-03-02 01:01 . 2008-03-02 01:35 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\Winamp
2008-03-01 23:49 . 2008-03-01 23:49 <DIR> d-------- C:\Program Files\QIP
2008-03-01 20:38 . 2008-02-28 20:06 139,008 --a------ C:\WINDOWS\system32\guard32.dll.vir
2008-03-01 20:00 . 2004-08-18 13:00 389,632 --a------ C:\CF12355.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-01 19:02 . 2008-03-02 13:54 <DIR> d-------- C:\WINDOWS\$hf_mig$
2008-03-01 19:02 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-01 00:34 . 2008-03-01 00:34 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\CyberLink
2008-03-01 00:28 . 2008-03-02 00:49 <DIR> d-------- C:\Program Files\Webteh
2008-03-01 00:27 . 2008-03-01 00:27 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\CyberLink
2008-03-01 00:26 . 2008-03-01 00:26 <DIR> d-------- C:\Program Files\CyberLink
2008-03-01 00:22 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-03-01 00:22 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-03-01 00:22 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-01 00:22 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-03-01 00:22 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-02-29 23:57 . 2008-02-29 23:57 <DIR> d-------- C:\Program Files\Codec Pack - All In 1
2008-02-29 23:57 . 2008-02-29 23:56 737,280 --a------ C:\WINDOWS\iun6002.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-03 16:38 --------- d-----w C:\Program Files\PeerGuardian2
2008-03-01 17:53 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\avg7
2008-03-01 15:01 --------- d-----w C:\Documents and Settings\User\Data aplikací\AVG7
2008-02-29 23:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-28 19:23 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-02-28 19:23 --------- d-----w C:\Documents and Settings\LocalService\Data aplikací\AVG7
2008-02-28 19:22 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\Grisoft
2008-02-28 19:17 --------- d-----w C:\Documents and Settings\User\Data aplikací\ATI
2008-02-28 19:17 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\comodo
2008-02-28 19:13 --------- d-----w C:\Program Files\Intel
2008-02-28 19:07 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-02-28 19:07 --------- d-----w C:\Program Files\ATI Technologies
2008-02-28 19:06 84,856 ----a-w C:\WINDOWS\system32\drivers\cmdguard.sys
2008-02-28 19:06 23,800 ----a-w C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-02-28 19:06 --------- d-----w C:\Program Files\COMODO
2008-02-28 19:06 --------- d-----w C:\Documents and Settings\User\Data aplikací\Comodo
2008-02-28 18:59 --------- d-----w C:\Program Files\Conexant
2008-02-28 18:48 --------- d-----w C:\Program Files\microsoft frontpage
2007-12-07 02:14 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 13:00 15360]
"PeerGuardian"="C:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CnxDslTaskBar"="C:\Program Files\Conexant\AccessRunner ADSL USB\CnxDslTb.exe" [2005-02-04 16:19 278528]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-01 21:05 339968]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-01 22:23 32768]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-02-28 20:06 1502976]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 08:54 77824 C:\WINDOWS\SOUNDMAN.EXE]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-02-28 20:22 579072]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 88363 C:\WINDOWS\AGRSMMSG.exe]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 13:06 40048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 13:00 15360]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-01 22:23 32768]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-28 20:23 219136]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\QIP\\qip.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-28 20:06]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-28 20:06]
R3 CnxEtP;Conexant AccessRunner USB ADSL Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2005-02-04 16:12]
R3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2005-02-04 16:12]
R3 CnxTgNP;Conexant AccessRunner ADSL WAN PPPoE Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNP.sys [2005-02-04 16:12]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 13:00]
R3 usbccgp;Obecný nadřazený ovladač Microsoft USB;C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 23:08]
R3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 SetupNTGLM7X;SetupNTGLM7X;G:\NTGLM7X.sys []
*Newly Created Service* - PGFILTER
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 17:41:07
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\guard32.dll
.
Completion time: 2008-03-03 17:41:50
ComboFix-quarantined-files.txt 2008-03-03 16:41:47
ComboFix2.txt 2008-03-02 13:00:55
ComboFix3.txt 2008-03-01 21:04:39
.
2008-03-02 12:55:44 --- E O F ---
...po provedeni jsem zaregistroval, ze se mi ie stal vychozim prohlizecem a na plose se zalozila ico...
...co si mam predstavit pod recovery consoled?
diky
newan[/b]
C:\WINDOWS\system32\guard32.dll.vir neexistuje
C:\WINDOWS\system32\guard32.dll ok
C:\CF12355.exe ok
G:\NTGLM7X.sys neexistuje (neco na nejakem instal cd...uz nevim na kterem...)
log z CF
ComboFix 08-03-01.3 - User 2008-03-03 17:39:14.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.880 [GMT 1:00]
Running from: C:\Documents and Settings\User\Plocha\ComboFix.exe
Command switches used :: sfxcmd=C:\Documents and Settings\User\Plocha\CFScript.txt
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
C:\WINDOWS\Lic.xxx
C:\WINDOWS\logo1_.exe
C:\WINDOWS\R.COM
C:\WINDOWS\rundl132.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\system32\T.COM
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\zts2.exe
.
The following files were disabled during the run:
C:\WINDOWS\system32\guard32.dll
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\T.COM
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((((( Files Created from 2008-02-03 to 2008-03-03 )))))))))))))))))))))))))))))))
.
2008-03-02 14:58 . 2008-03-02 14:58 0 --a------ C:\23990098.$$$
2008-03-02 14:09 . 2008-03-02 14:09 <DIR> d-------- C:\WINDOWS\PIF
2008-03-02 13:01 . 2008-03-02 13:02 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-03-02 12:37 . 2008-03-02 12:37 390 --a------ C:\WINDOWS\ODBC.INI
2008-03-02 12:36 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-03-02 12:34 . 2008-03-02 12:35 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-03-02 12:34 . 2008-03-02 12:34 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-03-02 01:11 . 2008-03-02 01:11 <DIR> d-------- C:\Program Files\Lavasoft
2008-03-02 01:11 . 2008-03-02 01:11 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\Lavasoft
2008-03-02 01:01 . 2008-03-02 01:02 <DIR> d-------- C:\Program Files\Winamp
2008-03-02 01:01 . 2008-03-02 01:35 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\Winamp
2008-03-01 23:49 . 2008-03-01 23:49 <DIR> d-------- C:\Program Files\QIP
2008-03-01 20:38 . 2008-02-28 20:06 139,008 --a------ C:\WINDOWS\system32\guard32.dll.vir
2008-03-01 20:00 . 2004-08-18 13:00 389,632 --a------ C:\CF12355.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-01 19:51 . 2008-03-01 19:51 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-01 19:02 . 2008-03-02 13:54 <DIR> d-------- C:\WINDOWS\$hf_mig$
2008-03-01 19:02 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-01 00:34 . 2008-03-01 00:34 <DIR> d-------- C:\Documents and Settings\User\Data aplikací\CyberLink
2008-03-01 00:28 . 2008-03-02 00:49 <DIR> d-------- C:\Program Files\Webteh
2008-03-01 00:27 . 2008-03-01 00:27 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\CyberLink
2008-03-01 00:26 . 2008-03-01 00:26 <DIR> d-------- C:\Program Files\CyberLink
2008-03-01 00:22 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-03-01 00:22 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-03-01 00:22 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-01 00:22 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-03-01 00:22 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-02-29 23:57 . 2008-02-29 23:57 <DIR> d-------- C:\Program Files\Codec Pack - All In 1
2008-02-29 23:57 . 2008-02-29 23:56 737,280 --a------ C:\WINDOWS\iun6002.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-03 16:38 --------- d-----w C:\Program Files\PeerGuardian2
2008-03-01 17:53 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\avg7
2008-03-01 15:01 --------- d-----w C:\Documents and Settings\User\Data aplikací\AVG7
2008-02-29 23:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-28 19:23 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-02-28 19:23 --------- d-----w C:\Documents and Settings\LocalService\Data aplikací\AVG7
2008-02-28 19:22 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\Grisoft
2008-02-28 19:17 --------- d-----w C:\Documents and Settings\User\Data aplikací\ATI
2008-02-28 19:17 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\comodo
2008-02-28 19:13 --------- d-----w C:\Program Files\Intel
2008-02-28 19:07 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-02-28 19:07 --------- d-----w C:\Program Files\ATI Technologies
2008-02-28 19:06 84,856 ----a-w C:\WINDOWS\system32\drivers\cmdguard.sys
2008-02-28 19:06 23,800 ----a-w C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-02-28 19:06 --------- d-----w C:\Program Files\COMODO
2008-02-28 19:06 --------- d-----w C:\Documents and Settings\User\Data aplikací\Comodo
2008-02-28 18:59 --------- d-----w C:\Program Files\Conexant
2008-02-28 18:48 --------- d-----w C:\Program Files\microsoft frontpage
2007-12-07 02:14 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 13:00 15360]
"PeerGuardian"="C:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CnxDslTaskBar"="C:\Program Files\Conexant\AccessRunner ADSL USB\CnxDslTb.exe" [2005-02-04 16:19 278528]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-01 21:05 339968]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-01 22:23 32768]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-02-28 20:06 1502976]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 08:54 77824 C:\WINDOWS\SOUNDMAN.EXE]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-02-28 20:22 579072]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 88363 C:\WINDOWS\AGRSMMSG.exe]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 13:06 40048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 13:00 15360]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-01 22:23 32768]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-28 20:23 219136]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\QIP\\qip.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-28 20:06]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-28 20:06]
R3 CnxEtP;Conexant AccessRunner USB ADSL Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2005-02-04 16:12]
R3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2005-02-04 16:12]
R3 CnxTgNP;Conexant AccessRunner ADSL WAN PPPoE Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNP.sys [2005-02-04 16:12]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 13:00]
R3 usbccgp;Obecný nadřazený ovladač Microsoft USB;C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 23:08]
R3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 SetupNTGLM7X;SetupNTGLM7X;G:\NTGLM7X.sys []
*Newly Created Service* - PGFILTER
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 17:41:07
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\guard32.dll
.
Completion time: 2008-03-03 17:41:50
ComboFix-quarantined-files.txt 2008-03-03 16:41:47
ComboFix2.txt 2008-03-02 13:00:55
ComboFix3.txt 2008-03-01 21:04:39
.
2008-03-02 12:55:44 --- E O F ---
...po provedeni jsem zaregistroval, ze se mi ie stal vychozim prohlizecem a na plose se zalozila ico...
...co si mam predstavit pod recovery consoled?
diky
newan[/b]
To s IE je v pořádku, ComboFix to dělá. Přes Přístup a výchozí nastavení programů si nastavte jiný výchozí prohlížeč.
Zeptám se. Jak jste na začátku testoval tento soubor: winlofgzh.exe, tak kde na disku je?
Jinak si stáhněte z podpisu Avenger - spustte jej - odsouhlasit podmínky - klik na imput script manually - klik na lupu - do prázdného okénka zkopírovat toto tučné:
Files to delete:
C:\WINDOWS\system32\dllcache\winlogon.exe
- klik na done - klik na semafor - potvrdit restart - po restartu vyjede log, který sem zkopírujte.
Zeptám se. Jak jste na začátku testoval tento soubor: winlofgzh.exe, tak kde na disku je?
Jinak si stáhněte z podpisu Avenger - spustte jej - odsouhlasit podmínky - klik na imput script manually - klik na lupu - do prázdného okénka zkopírovat toto tučné:
Files to delete:
C:\WINDOWS\system32\dllcache\winlogon.exe
- klik na done - klik na semafor - potvrdit restart - po restartu vyjede log, který sem zkopírujte.
To moc nechápu. Ale zeptám se, co vyvádí teď počítač?takhle;)
nahral jsem winlogon z dllcache na virustotal a ve vysledku byl ten file oznacen jako winlofgzh.exe, tak jak jsem ty vysledky zkopiroval po tvoji prvni rade..
je to trapny, ale ted jede kmp v pohode, castecne tim, ze jsem kvuli tomu co jsem se ptal 2x formatoval a instaloval widle;) a ted jedu vicemene na novo s "vycistenym" kompem
pred tim mi hodne padal firefox, zabíral vetsinu pameti a celkove se mi hodne kousal komp, problemy s vypnutim, apod., a to jsem mel taky cerstve nainstal. komp a nerozjizdel jsem nic cemu bych to mohl pricist...
(jedine mozna zabijacka dvojice comodo firewall a comodo antivirus, mi prislo ze se navzajem moc paradoxne nemusej, ale mozna jsem uplne nezvlad nastaveni toho AV, instal poprve;))
no nevim, rekl bych, ze to zatim zkusim takhle a za cas to zase poradne projedu a uvidime...
kazdop. moc dekuju
nahral jsem winlogon z dllcache na virustotal a ve vysledku byl ten file oznacen jako winlofgzh.exe, tak jak jsem ty vysledky zkopiroval po tvoji prvni rade..
je to trapny, ale ted jede kmp v pohode, castecne tim, ze jsem kvuli tomu co jsem se ptal 2x formatoval a instaloval widle;) a ted jedu vicemene na novo s "vycistenym" kompem
pred tim mi hodne padal firefox, zabíral vetsinu pameti a celkove se mi hodne kousal komp, problemy s vypnutim, apod., a to jsem mel taky cerstve nainstal. komp a nerozjizdel jsem nic cemu bych to mohl pricist...
(jedine mozna zabijacka dvojice comodo firewall a comodo antivirus, mi prislo ze se navzajem moc paradoxne nemusej, ale mozna jsem uplne nezvlad nastaveni toho AV, instal poprve;))
no nevim, rekl bych, ze to zatim zkusim takhle a za cas to zase poradne projedu a uvidime...
kazdop. moc dekuju
No mě ty logy přijdou čistý, tak proto se ptám. Pro kontrolu to můžeš projet CureItem, popřípadě SUPERAntiSpywarem, najdou toho hodně a scan ani moc dlouho netrvá.
CureIt -- ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
SUPERAntiSpyyware -- http://www.superantispyware.com/downloa ... PYWAREFREE
CureIt -- ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
SUPERAntiSpyyware -- http://www.superantispyware.com/downloa ... PYWAREFREE
Zpět na “Viry, antiviry, firewally…”
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 5 hostů