prosím o kontrolu, virus Vyřešeno

[Fucza]

Nevím jestli z Virustotal dávám to, co je potřeba. V návodu je zkopírovat, tak takto:
Je to ten první soubor:


a-squared 4.0.0.101 2009.03.13 Backdoor.Win32.SdBot!IK
AhnLab-V3 5.0.0.2 2009.03.12 -
AntiVir 7.9.0.109 2009.03.12 TR/Crypt.ZPACK.Gen
Authentium 5.1.0.4 2009.03.12 W32/Heuristic-THX!Eldorado
Avast 4.8.1335.0 2009.03.12 Win32:Spyware-gen
AVG 8.0.0.237 2009.03.12 BackDoor.Generic_r.EO
BitDefender 7.2 2009.03.13 IRC-Worm.Generic.5868
CAT-QuickHeal 10.00 2009.03.12 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.03.13 -
Comodo 1051 2009.03.12 -
DrWeb 4.44.0.09170 2009.03.13 -
eSafe 7.0.17.0 2009.03.12 Win32.TRCrypt.ZPACK
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.12 W32/Heuristic-THX!Eldorado
F-Secure 8.0.14470.0 2009.03.13 Backdoor.Win32.SdBot.kvl
Fortinet 3.117.0.0 2009.03.13 W32/SDBot.KVL!tr.bdr
GData 19 2009.03.13 IRC-Worm.Generic.5868
Ikarus T3.1.1.45.0 2009.03.13 Backdoor.Win32.SdBot
K7AntiVirus 7.10.668 2009.03.12 Backdoor.Win32.SdBot.kvl
Kaspersky 7.0.0.125 2009.03.13 Backdoor.Win32.SdBot.kvl
McAfee 5551 2009.03.12 W32/Sdbot.worm.gen.ca
McAfee+Artemis 5551 2009.03.12 W32/Sdbot.worm.gen.ca
Microsoft 1.4405 2009.03.12 Exploit:Win32/MS08067.gen!A
NOD32 3933 2009.03.13 probably a variant of IRC/SdBot
Norman 6.00.06 2009.03.12 -
nProtect 2009.1.8.0 2009.03.13 -
Panda 10.0.0.10 2009.03.12 Trj/Agent.LSH
PCTools 4.4.2.0 2009.03.13 -
Prevx1 V2 2009.03.13 High Risk Worm
Rising 21.20.40.00 2009.03.13 -
SecureWeb-Gateway 6.7.6 2009.03.13 Trojan.Crypt.ZPACK.Gen
Sophos 4.39.0 2009.03.13 Troj/SdBot-DOH
Sunbelt 3.2.1858.2 2009.03.13 Trojan.Crypt.ZPACK.Gen
Symantec 1.4.4.12 2009.03.13 W32.Spybot.Worm
TheHacker 6.3.3.0.281 2009.03.13 Backdoor/SdBot.kvl
TrendMicro 8.700.0.1004 2009.03.13 WORM_SDBOT.AG
VBA32 3.12.10.1 2009.03.12 Backdoor.Win32.SdBot.kvl
ViRobot 2009.3.12.1647 2009.03.12 Backdoor.Win32.IRCBot.744960
VirusBuster 4.5.11.0 2009.03.12 Worm.SdBot.AEPM
Rozšiřující informace
File size: 744960 bytes
MD5...: edd60768a1e054c9e65307255539ca49
SHA1..: 643b239ad051afce8f942ee6f50f1d483d5bf1d9
SHA256: f5aaa0095763c43bbfed77745a4d79aecbddebb2c707a0161103df72131d16d4
SHA512: 825e98fdcfd57d91a72fc658f468efaa39d306f76a499169da63d0c203a7b045
3b2166750e05b3ff147d0f6a9d9e583e4c82b9aafa6bc3db308dc90f9ae42898
ssdeep: 12288:E9uoalDYM1D0XkTWcXu1fdfgfLSSSCSsz6+9XWdxwgNrLhC8JZbVSMX9P:
ouoaBz9TtGlfSSTCSsG+tWrwKLhC8bUq

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x200000
timedatestamp.....: 0x49b3e7d8 (Sun Mar 08 15:44:24 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x7a000 0xc400 7.97 24a572a239884fae4e6c1cb637cfa9d5
.rsrc 0x7b000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x7c000 0x1000 0x200 0.74 3c9939ae9ab77c4b6745a3796e6c3e0a
0x7d000 0xda000 0x200 0.24 f9691454ef20e5338914cf2767309210
nqnnztxx 0x157000 0xa9000 0xa8400 7.91 0e21a5b0903bb199971dff439e8fa42d
jueqsynf 0x200000 0x1000 0x200 1.71 d7b959203680baad8989bacb08fcad58

( 1 imports )
> kernel32.dll: CreateProcessA

( 0 exports )

packers (F-Prot): Themida
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=edd60768a1e054c9e65307255539ca49' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=edd60768a1e054c9e65307255539ca49</a>
packers (Authentium): Themida
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=edd60768a1e054c9e65307255539ca49' target='_blank'>http://www.threatexpert.com/report.aspx?md5=edd60768a1e054c9e65307255539ca49</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8BF51C09003B4A605E860BF903177900ABC0E6E4' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8BF51C09003B4A605E860BF903177900ABC0E6E4</a>

[Reklama]

[Fucza]

Soubor g6l5k37g5s7.exe přijatý 2009.03.13 07:10:42 (CET)
Současný stav: Čekejte ... Ve frontě Čekání Testování Dokončeno NENALEZENO ZASTAVENO


Výsledek: 31/39 (79.49%)
Načítám informace ze serveru...
Váš soubor čeká ve frontě na pozici: ___.
Odhadovaný čas začátku mezi ___ a ___ .
Nezavírejte toto okno dokud nebude test dokončen.
Právě testující program byl je zastaven, probíhá čekání na program.
Za chvíli bude proveden další pokus o otestování souboru.
Pokud budete čekat déle než-li pět minut odešlete Váš soubor znovu.
Váš soubor je nyní testován pomocí VirusTotal,
výsledky budou zobrazeny po dokončení.
Formátované Vytisknout výsledky
Váš soubor není platný, nebo neexistuje.
Služba je pozastavena v tuto chvíli, váš soubor čeká na otestování (pozice: ) po nespecifikovanou dobu.

Nyní čekejte na odezvu webu (automatické obnovení), nebo napište email do pole a klikněte na "vyžádat" a systém Vám zašle email s výsledky až bude test hotov.
Email:


Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.0.0.101 2009.03.13 Trojan.Slenfbot!IK
AhnLab-V3 5.0.0.2 2009.03.12 Win-Trojan/Agent.35883
AntiVir 7.9.0.109 2009.03.12 BDS/Small.hpz
Authentium 5.1.0.4 2009.03.12 W32/Backdoor2.DWCN
Avast 4.8.1335.0 2009.03.12 Win32:Dialer-gen
AVG 8.0.0.237 2009.03.12 SpamTool.CGC
BitDefender 7.2 2009.03.13 Trojan.Slenfbot.Gen.1
CAT-QuickHeal 10.00 2009.03.12 Win32.VirTool.DelfInject.gen!AF.8
ClamAV 0.94.1 2009.03.13 -
Comodo 1051 2009.03.12 -
DrWeb 4.44.0.09170 2009.03.13 Dialer.Siggen.121
eSafe 7.0.17.0 2009.03.12 Win32.Backdoor.Small
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.12 W32/Backdoor2.DWCN
F-Secure 8.0.14470.0 2009.03.13 Backdoor.Win32.Small.hpz
Fortinet 3.117.0.0 2009.03.13 PossibleThreat
GData 19 2009.03.13 Trojan.Slenfbot.Gen.1
Ikarus T3.1.1.45.0 2009.03.13 Trojan.Slenfbot
K7AntiVirus 7.10.668 2009.03.12 Backdoor.Win32.Small.hpz
Kaspersky 7.0.0.125 2009.03.13 Backdoor.Win32.Small.hpz
McAfee 5551 2009.03.12 Spam-Mailbot.l
McAfee+Artemis 5551 2009.03.12 Spam-Mailbot.l
Microsoft 1.4405 2009.03.12 VirTool:Win32/DelfInject.gen!AF
NOD32 3933 2009.03.13 probably a variant of Win32/Injector.CR
Norman 6.00.06 2009.03.12 W32/Smalldoor.DSBY
nProtect 2009.1.8.0 2009.03.13 Backdoor/W32.Small.35883
Panda 10.0.0.10 2009.03.12 W32/Slenfbot.T.worm
PCTools 4.4.2.0 2009.03.13 -
Prevx1 V2 2009.03.13 High Risk Cloaked Malware
Rising 21.20.40.00 2009.03.13 -
SecureWeb-Gateway 6.7.6 2009.03.13 Trojan.Backdoor.Small.hpz
Sophos 4.39.0 2009.03.13 -
Sunbelt 3.2.1858.2 2009.03.13 Backdoor.Win32.Small.hpz
Symantec 1.4.4.12 2009.03.13 Backdoor.Trojan
TheHacker 6.3.3.0.281 2009.03.13 Backdoor/Small.hpz
TrendMicro 8.700.0.1004 2009.03.13 -
VBA32 3.12.10.1 2009.03.12 Backdoor.Win32.Delf.oeu
ViRobot 2009.3.12.1647 2009.03.12 -
VirusBuster 4.5.11.0 2009.03.12 Backdoor.Small.BFZH
Rozšiřující informace
File size: 35885 bytes
MD5...: 1472d2286cab9d9d8a653d195c1cb320
SHA1..: 9d9c77ea87282abfc6e3e14fc8f95df8d111add0
SHA256: 13dc9e7a1c7252911a07e70f5846407cc0ad9589697ce7dee7002dbfdfab7579
SHA512: d6e1a516178c11839097b7c5d8501ed2e2212aabdd1684e43a48f872d60fcc6b
252fd5781ead7bf0945d0455677c8965477808852c0c86fb8918ac1817e008af
ssdeep: 768:gC38y8Iu4oaavkLW0zcxD3tAf8ch3zmn7x/msacQ:gCR8IGvI8e3a5E

PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4f04
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x3fa8 0x4000 6.45 a165783a3f098116a7223f86e8ca8243
DATA 0x5000 0x104 0x200 2.64 4baaaf60a304cd9b636180e5111956ae
BSS 0x6000 0x705 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x7000 0x4a8 0x600 3.61 dbab7fa9558acd34acc337c7c9864b01
.tls 0x8000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x9000 0x18 0x200 0.20 291399bc49d6e95a41d4fb00a521fd37
.reloc 0xa000 0x4a0 0x600 5.73 605e8d20bf4f4d8d004ec203df96b773
.rsrc 0xb000 0x364c 0x3800 7.86 41f9cd3dcf156cbaef1dc2ca00dcbe1b

( 7 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, GetThreadLocale, GetStartupInfoA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, MessageBoxA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> kernel32.dll: Sleep, LoadLibraryA, GetTickCount, GetProcAddress, GetModuleFileNameA
> user32.dll: TranslateMessage, PostQuitMessage, PeekMessageA, MessageBoxA, DispatchMessageA
> opengl32.dll: glColor3ui, glClearStencil, glClearColor

( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C30440702D4A19F28C40001CBE0963003898452E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C30440702D4A19F28C40001CBE0963003898452E</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=1472d2286cab9d9d8a653d195c1cb320' target='_blank'>http://www.threatexpert.com/report.aspx?md5=1472d2286cab9d9d8a653d195c1cb320</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=1472d2286cab9d9d8a653d195c1cb320' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=1472d2286cab9d9d8a653d195c1cb320</a>

[Fucza]

Soubor kz7r4h3l1z6h2.exe přijatý 2009.03.13 07:12:52 (CET)
Současný stav: Čekejte ... Ve frontě Čekání Testování Dokončeno NENALEZENO ZASTAVENO


Výsledek: 14/39 (35.9%)
Načítám informace ze serveru...
Váš soubor čeká ve frontě na pozici: ___.
Odhadovaný čas začátku mezi ___ a ___ .
Nezavírejte toto okno dokud nebude test dokončen.
Právě testující program byl je zastaven, probíhá čekání na program.
Za chvíli bude proveden další pokus o otestování souboru.
Pokud budete čekat déle než-li pět minut odešlete Váš soubor znovu.
Váš soubor je nyní testován pomocí VirusTotal,
výsledky budou zobrazeny po dokončení.
Formátované Vytisknout výsledky
Váš soubor není platný, nebo neexistuje.
Služba je pozastavena v tuto chvíli, váš soubor čeká na otestování (pozice: ) po nespecifikovanou dobu.

Nyní čekejte na odezvu webu (automatické obnovení), nebo napište email do pole a klikněte na "vyžádat" a systém Vám zašle email s výsledky až bude test hotov.
Email:


Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.0.0.101 2009.03.13 -
AhnLab-V3 5.0.0.2 2009.03.12 -
AntiVir 7.9.0.109 2009.03.12 TR/Crypt.ZPACK.Gen
Authentium 5.1.0.4 2009.03.12 W32/Heuristic-210!Eldorado
Avast 4.8.1335.0 2009.03.12 -
AVG 8.0.0.237 2009.03.12 -
BitDefender 7.2 2009.03.13 -
CAT-QuickHeal 10.00 2009.03.12 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.03.13 -
Comodo 1051 2009.03.12 -
DrWeb 4.44.0.09170 2009.03.13 -
eSafe 7.0.17.0 2009.03.12 Win32.TRCrypt.ZPACK
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.12 W32/Heuristic-210!Eldorado
F-Secure 8.0.14470.0 2009.03.13 -
Fortinet 3.117.0.0 2009.03.13 -
GData 19 2009.03.13 -
Ikarus T3.1.1.45.0 2009.03.13 -
K7AntiVirus 7.10.668 2009.03.12 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.03.13 Worm.Win32.AutoRun.ffy
McAfee 5551 2009.03.12 -
McAfee+Artemis 5551 2009.03.12 Generic!Artemis
Microsoft 1.4405 2009.03.12 Worm:Win32/Hamweq.A
NOD32 3933 2009.03.13 Win32/AutoRun.Agent.LG
Norman 6.00.06 2009.03.12 -
nProtect 2009.1.8.0 2009.03.13 -
Panda 10.0.0.10 2009.03.12 -
PCTools 4.4.2.0 2009.03.13 -
Prevx1 V2 2009.03.13 -
Rising 21.20.40.00 2009.03.13 -
SecureWeb-Gateway 6.7.6 2009.03.13 Trojan.Crypt.ZPACK.Gen
Sophos 4.39.0 2009.03.13 Sus/UnkPacker
Sunbelt 3.2.1858.2 2009.03.13 Trojan.Crypt.ZPACK.Gen
Symantec 1.4.4.12 2009.03.13 Suspicious.MH690.A
TheHacker 6.3.3.0.281 2009.03.13 -
TrendMicro 8.700.0.1004 2009.03.13 -
VBA32 3.12.10.1 2009.03.12 -
ViRobot 2009.3.12.1647 2009.03.12 -
VirusBuster 4.5.11.0 2009.03.12 -
Rozšiřující informace
File size: 670720 bytes
MD5...: 519f857b9c1022b38890502964b30468
SHA1..: 904426c37b2c00cf8c4a8187d6bfb0b5dce72cf2
SHA256: 269c947780d27fd7dc36572d13499c1d01524c7ba4eb58fc80df68ffe0dba415
SHA512: da4d9bd579f1b5be6c27536760ceb71de781ef51e3cccfd3d0995965aa0ceed3
6eec6853690f11028614da1d986ef8ea94d117a078762a6ea92a92aef345be45
ssdeep: 12288:CkvE11Or4/m6zD3mBbMkK+5DGt+YZV0/Z1vDF:fvE11OxHK+95uOZ1vD

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x17a000
timedatestamp.....: 0x49a999ce (Sat Feb 28 20:08:46 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
dsddtwqk 0x1000 0x4000 0x1600 7.93 6d655881cefdf471981300d253a1e444
.rsrc 0x5000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
eyvtiaex 0x6000 0x1000 0x200 0.54 bd75de459ec40dc5111db94d104d39f5
cvytqknd 0x7000 0x173000 0xa0400 7.91 5f56157566481d7995794b680b4464cb
tfxeqnjp 0x17a000 0x1000 0x1000 0.29 3c88a75fd339ce7c0c8d43035bf9c9b6

( 1 imports )
> kernel32.dll: lstrlenA

( 0 exports )

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=519f857b9c1022b38890502964b30468' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=519f857b9c1022b38890502964b30468</a>
packers (F-Prot): Themida
packers (Authentium): Themida

[Fucza]

To z té flashky nyní neotestuju. Zapoměl jsem ji doma. Z mé strany asi zatím vše a budu se těšit. Počítač už tu hlášku neukazuje, jen trochu blbne myš, trochu si skáče po ploše.
Prozatím díky.

[jaro3]

Toto jsi netestoval: i:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe ?

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\documents and settings\Učebna\c4m2m9o4vp9.exe   
c:\documents and settings\Učebna\g6l5k37g5s7.exe       
c:\documents and settings\Učebna\kz7r4h3l1z6h2.exe   

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Až budeš mít tu flešku , tak jí připoj a proveď dezinfekci pomocí Flash_Disinfectoru ( neklikej na její obsah!).

[Fucza]

Ten soubor: :\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe je asi na té flashce, ne?
Zde log:
ComboFix 09-03-10.03 - Učebna 2009-03-13 8:27:54.3 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.2038.1654 [GMT 1:00]
Spuštěný z: c:\documents and settings\Učebna\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Učebna\Plocha\CFScript.txt
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
c:\documents and settings\Učebna\c4m2m9o4vp9.exe
c:\documents and settings\Učebna\g6l5k37g5s7.exe
c:\documents and settings\Učebna\kz7r4h3l1z6h2.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Učebna\c4m2m9o4vp9.exe
c:\documents and settings\Učebna\g6l5k37g5s7.exe
c:\documents and settings\Učebna\kz7r4h3l1z6h2.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-02-13 do 2009-03-13 )))))))))))))))))))))))))))))))
.

2009-03-12 12:25 . 2009-03-12 12:25 <DIR> d-------- c:\program files\Trend Micro
2009-03-12 11:21 . 2009-03-12 11:21 <DIR> dr-hs---- C:\RESTORE
2009-03-11 11:57 . 2009-03-11 12:14 69 --a------ c:\windows\NeroDigital.ini
2009-03-11 11:54 . 2008-04-14 00:15 60,032 --a------ c:\windows\system32\drivers\USBAUDIO.sys
2009-03-11 11:54 . 2008-04-14 00:15 60,032 --a------ c:\windows\system32\dllcache\usbaudio.sys
2009-03-11 11:53 . 2008-04-14 00:15 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-03-11 11:53 . 2008-04-14 00:15 32,128 --a------ c:\windows\system32\dllcache\usbccgp.sys
2009-03-11 11:43 . 2009-03-11 11:43 <DIR> d-------- c:\documents and settings\Učebna\Data aplikací\SMART Technologies Inc
2009-03-11 11:43 . 2009-03-11 11:43 <DIR> d-------- c:\documents and settings\Učebna\Data aplikací\SMART Technologies
2009-03-11 11:43 . 2003-02-14 19:14 110,592 --a------ c:\windows\system32\tsccvid.dll
2009-03-11 11:42 . 2009-03-11 11:42 <DIR> d-------- c:\program files\SMART Technologies
2009-03-11 11:42 . 2009-03-11 11:42 <DIR> d-------- c:\program files\Common Files\SMART Technologies
2009-03-11 11:42 . 2009-03-11 11:42 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\SMART Technologies
2009-03-11 11:33 . 2009-03-11 11:33 <DIR> d-------- c:\program files\Common Files\snpstd3
2009-03-11 11:32 . 2009-03-11 11:33 <DIR> d-------- c:\documents and settings\Učebna\Data aplikací\InstallShield
2009-03-11 11:24 . 2009-03-05 14:46 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\Nero
2009-03-11 11:24 . 2009-03-05 14:46 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\Nero
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> d-------- c:\documents and settings\Učebna\Plocha
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> d-------- c:\documents and settings\Učebna\Plocha
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> d--h----- c:\documents and settings\Učebna\Okolní tiskárny
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> d--h----- c:\documents and settings\Učebna\Okolní tiskárny
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> d--h----- c:\documents and settings\Učebna\Okolní síť
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> d--h----- c:\documents and settings\Učebna\Okolní síť
2009-03-11 11:24 . 2009-03-11 11:25 <DIR> dr------- c:\documents and settings\Učebna\Oblíbené položky
2009-03-11 11:24 . 2009-03-11 11:25 <DIR> dr------- c:\documents and settings\Učebna\Oblíbené položky
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> d--h----- c:\documents and settings\Učebna\Šablony
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> d--h----- c:\documents and settings\Učebna\Šablony
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> dr------- c:\documents and settings\Učebna\Nabídka Start
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> dr------- c:\documents and settings\Učebna\Nabídka Start
2009-03-11 11:24 . 2009-03-11 11:25 <DIR> dr------- c:\documents and settings\Učebna\Dokumenty
2009-03-11 11:24 . 2009-03-11 11:25 <DIR> dr------- c:\documents and settings\Učebna\Dokumenty
2009-03-11 11:24 . 2009-03-05 14:46 <DIR> d-------- c:\documents and settings\Učebna\Data aplikací\Nero
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> dr-h----- c:\documents and settings\Učebna\Data aplikací
2009-03-11 11:24 . 2009-03-05 12:25 <DIR> dr-h----- c:\documents and settings\Učebna\Data aplikací
2009-03-11 11:24 . 2009-03-11 11:24 <DIR> d-------- c:\documents and settings\Učebna
2009-03-11 11:20 . 2009-03-11 11:20 8,192 --a------ c:\windows\REGLOCS.OLD
2009-03-05 14:56 . 2009-03-05 14:56 <DIR> d--hs---- C:\Recycled
2009-03-05 14:56 . 2009-03-05 14:56 333 --a------ c:\windows\system32\$ncsp$.inf
2009-03-05 14:56 . 2009-03-05 14:56 61 --a------ c:\windows\smscfg.ini
2009-03-05 14:53 . 2001-10-24 11:54 12,160 --a------ c:\windows\system32\drivers\mouhid.sys
2009-03-05 14:53 . 2001-10-24 11:54 12,160 --a------ c:\windows\system32\dllcache\mouhid.sys
2009-03-05 14:53 . 2008-04-14 00:15 10,368 --a------ c:\windows\system32\drivers\hidusb.sys
2009-03-05 14:53 . 2008-04-14 00:15 10,368 --a------ c:\windows\system32\dllcache\hidusb.sys
2009-03-05 14:48 . 2009-03-05 14:48 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2009-03-05 14:48 . 2009-03-05 14:48 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2009-03-05 14:46 . 2009-03-05 14:46 <DIR> d-------- c:\documents and settings\Administrator\Data aplikací\Nero
2009-03-05 14:45 . 2009-03-05 14:45 <DIR> d-------- c:\program files\Nero
2009-03-05 14:45 . 2009-03-05 14:45 <DIR> d-------- c:\program files\Common Files\Nero
2009-03-05 14:45 . 2009-03-05 14:45 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Nero
2009-03-05 14:41 . 2009-03-05 14:41 <DIR> d-------- c:\program files\Realtek
2009-03-05 14:41 . 2009-03-05 14:41 <DIR> d--h----- c:\program files\InstallShield Installation Information
2009-03-05 14:40 . 2009-03-05 14:40 <DIR> d-------- c:\program files\Common Files\InstallShield
2009-03-05 14:40 . 2008-08-25 16:17 528,384 --a------ c:\windows\RtlExUpd.dll
2009-03-05 13:26 . 2008-04-14 08:52 75,264 --a------ c:\windows\system32\usbui.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-05 11:54 --------- d-----w c:\program files\Reference Assemblies
2009-03-05 11:54 --------- d-----w c:\program files\MSBuild
2009-03-05 11:46 --------- d-----w c:\program files\Activation Assistant for the 2007 Microsoft Office suites
2009-03-05 11:46 --------- d-----w c:\documents and settings\All Users\Data aplikací\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
2009-03-05 11:43 --------- d-----w c:\program files\Microsoft Works
2009-03-05 11:42 --------- d-----w c:\program files\Microsoft.NET
2009-03-05 11:41 --------- d-----w c:\documents and settings\All Users\Data aplikací\Microsoft Help
2009-03-05 11:36 --------- d-----w c:\program files\microsoft frontpage
2009-03-05 11:36 --------- d-----w c:\program files\Digimax
2009-03-05 11:36 --------- d-----w c:\program files\Common Files\Adobe
2009-03-05 11:32 --------- d-----w c:\program files\Windows Media Connect 2
2009-03-05 11:31 --------- d-----w c:\program files\Intel
2008-12-13 06:39 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"FixCamera"="c:\windows\FixCamera.exe" [2007-02-10 20480]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2007-03-10 270336]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-09 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 29696]
SMART Board Tools.lnk - c:\program files\SMART Technologies\SMART Board Drivers\SMARTBoardTools.exe [2008-07-31 9618728]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\SMART Technologies\\SMART Board Drivers\\SMARTSNMPAgent.exe"=
"c:\\Program Files\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=

R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [1980-01-01 69120]
S2 DllSrv Service Controler;DllSrv Service Controler;"c:\windows\system32\drivers\DllSrv.exe" --> c:\windows\system32\drivers\DllSrv.exe [?]
S3 SMART SNMP Agent Service;SMART SNMP Agent Service;c:\program files\SMART Technologies\SMART Board Drivers\SMARTSNMPAgent.exe [2008-07-31 1037608]
S3 SMART Web Server;Webový server SMART;c:\program files\SMART Technologies\SMART Board Drivers\WebServer.exe [2008-07-31 1205544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed37473d-0ed2-11de-b431-002215dbeaca}]
\Shell\AutoRun\command - i:\restore\k-1-3542-4232123213-7676767-8888886\AMGR.exe
\Shell\open\command - i:\restore\k-1-3542-4232123213-7676767-8888886\AMGR.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed37473e-0ed2-11de-b431-002215dbeaca}]
\Shell\AutoRun\command - i:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
\Shell\open\command - i:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}]
c:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.atcomp.cz
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-13 08:28:21
Windows 5.1.2600 Service Pack 3 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2009-03-13 8:28:50
ComboFix-quarantined-files.txt 2009-03-13 07:28:50
ComboFix3.txt 2009-03-12 16:01:34
ComboFix2.txt 2009-03-13 05:49:18

Před spuštěním: Volných bajtů: 229 518 475 264
Po spuštění: Volných bajtů: 229,517,033,472

153 --- E O F --- 2009-03-12 12:45:46

[Fucza]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:30:56, on 13.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.atcomp.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SMART Notebook Download Plugin - {67BCF957-85FC-4036-8DC4-D4D80E00A77B} - C:\Program Files\SMART Technologies\Notebook Software\NotebookPlugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SMART Board Tools.lnk = C:\Program Files\SMART Technologies\SMART Board Drivers\SMARTBoardTools.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.atcomp.cz
O23 - Service: DllSrv Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\DllSrv.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Služba SMART Board (SMART Board Service) - SMART Technologies - C:\Program Files\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
O23 - Service: SMART SNMP Agent Service - SMART Technologies ULC - C:\Program Files\SMART Technologies\SMART Board Drivers\SMARTSNMPAgent.exe
O23 - Service: Webový server SMART (SMART Web Server) - Unknown owner - C:\Program Files\SMART Technologies\SMART Board Drivers\WebServer.exe

--
End of file - 4689 bytes

[jaro3]

To nevím máš to tady na i: , ale to asi máš tu flešku pořád zasunutou, jinak by jí Combofix neviděl....

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:

Kód: Vybrat vše

O23 - Service: DllSrv Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\DllSrv.exe (file missing)

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u

vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš>spustíš

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.
Pokud chceš zachovat svoje uložená hesla, klikni na No.

Doinstaluj javu:
Java SE Runtime Environment 6u12
Vyber OS ( předpokládám Windows), zatržítko agree-continue
Vyber:
Windows Offline Installation
jre-6u12-windows-i586-p.exe

Chybí antivir, doinstaluj (Avira, Avast nebo AVG..)
Napiš jak se chová comp.

[jaro3]

Takže tady to bude toto, doufám , že jsem to nepopletl...
Stáhni si program OTMoveIt3 (by OldTimer) a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed37473e-0ed2-11de-b431-002215dbeaca}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}]

:Files
c:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
i:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.

[Fucza]

To pod tím Ičkem by mohla být inter. tabule. Zkopíroval jsem soubor do Virustotalu a hned mi to vyhodilo toto:

0 bytes size received / Se ha recibido un archivo vacio

[Fucza]

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed37473e-0ed2-11de-b431-002215dbeaca}\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}\\ deleted successfully.
========== FILES ==========
c:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe moved successfully.
File/Folder i:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_620.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03132009_131024

Files moved on Reboot...
File C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat not found!
File C:\WINDOWS\temp\Perflib_Perfdata_620.dat not found!

[Fucza]

UZde bych řekl, že to je dobré.Co myslíte?