SpywareTerminator - nefunguje aktualizace.* Vyřešeno

[jaro3]

Ten MbAM rozjeď bez aktualizace.

[Reklama]

[zdenislav]

Tak dobří duchové
Log vypadá čistě. Nevím jestli se radovat

Malwarebytes' Anti-Malware 1.36
Verze databáze: 1945
Windows 5.1.2600 Service Pack 3

27.4.2009 17:10:02
mbam-log-2009-04-27 (17-10-02).txt

Typ skenu: Rychlý sken
Objektu skenováno: 69605
Uplynulý cas: 8 minute(s), 2 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

[zdenislav]

Zkoušel sem jít na Ovládací panely - Systém - a zaškrtnout možnost Automatické stahování aktualizací. Ale nejde to.
Je to celý "šedý" A je tam zvoleno Vypnuto.
Když jdu do services.msc tam mám, že automatické aktualizace běží a že prý Automaticky.
To su z toho jelen. Co sem to zase kde povrtal

[jaro3]

Vypni štít u SpywareTerminatoru.
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[zdenislav]

Při spuštění CF postrádal konzoli pro zotavení. Chtěl ji stáhnout z Win Update. To se mu nepodařilo, zahájil scan.
Po scanu restartoval pc. Se startem pc mi naběhne i SpywareTerminator. Povoloval sem co to chtělo a mezi tím sem ho vypnul. Broblikla v něm hláška o Zakázání nějaké knihovny.
Pak CF vytvořil log. Zde je:

ComboFix 09-04-27.01 - zdenislávek 27.04.2009 19:01.1 - NTFSx86
Spuštěný z: c:\documents and settings\zdenislávek\Plocha\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\system files
c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDRIVER


((((((((((((((((((((((((( Soubory vytvořené od 2009-05-27 do 2009-4-27 )))))))))))))))))))))))))))))))
.

2009-04-26 21:32 . 2009-04-26 21:32 -------- d-----w c:\documents and settings\zdenislávek\Data aplikací\Malwarebytes
2009-04-26 21:32 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 21:32 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-26 21:32 . 2009-04-26 21:32 -------- d-----w c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-04-26 21:32 . 2009-04-26 21:32 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-26 15:49 . 2009-04-26 15:49 -------- d-----w c:\program files\ICQ6
2009-04-26 15:49 . 2009-04-26 15:49 -------- d-----w c:\documents and settings\All Users\Data aplikací\Spyware Terminator
2009-04-26 15:49 . 2009-04-27 16:54 -------- d-----w c:\documents and settings\zdenislávek\Data aplikací\Spyware Terminator
2009-04-26 15:49 . 2009-04-26 16:00 -------- d-----w c:\program files\Spyware Terminator
2009-04-26 15:49 . 2009-04-27 17:11 -------- d-----w c:\program files\WinClamAVShield
2009-04-26 04:09 . 2009-04-26 15:49 -------- d-----w c:\documents and settings\zdenislávek\Data aplikací\Spyware Terminator(2)
2009-04-26 04:09 . 2009-04-26 15:49 -------- d-----w c:\program files\Spyware Terminator(2)
2009-04-11 09:17 . 2009-04-26 16:13 -------- d-----w c:\program files\ESET
2009-04-05 17:57 . 2009-04-05 17:57 143104 ----a-w c:\windows\system32\guard32.dll
2009-04-05 17:57 . 2009-04-05 17:57 87056 ----a-w c:\windows\system32\drivers\cmdguard.sys
2009-04-05 17:57 . 2009-04-05 17:57 24208 ----a-w c:\windows\system32\drivers\cmdhlp.sys
2009-04-04 18:11 . 2009-04-04 18:11 -------- d---a-w c:\windows\system32\runouce.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-26 21:36 . 2008-05-31 12:09 -------- d-----w c:\program files\Capture-A-ScreenShot
2009-04-05 13:48 . 2006-04-02 15:59 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-04-01 05:04 . 2006-03-18 23:32 43552 -c--a-w c:\documents and settings\zdenislávek\Local Settings\Data aplikací\GDIPFONTCACHEV1.DAT
2009-03-31 06:18 . 2008-02-09 11:12 141312 ----a-w c:\windows\system32\drivers\sp_rsdrv2.sys
2009-03-30 15:52 . 2002-09-23 12:00 82750 ----a-w c:\windows\system32\perfc005.dat
2009-03-30 15:52 . 2002-09-23 12:00 438070 ----a-w c:\windows\system32\perfh005.dat
2009-03-13 08:17 . 2009-03-13 08:17 -------- d-----w c:\program files\MSBuild
2009-03-13 08:17 . 2009-03-13 08:17 -------- d-----w c:\program files\Reference Assemblies
2009-03-08 13:13 . 2009-03-08 13:13 626688 ----a-w c:\windows\system32\msvcr80.dll
2009-03-08 13:13 . 2009-03-08 13:13 548864 ----a-w c:\windows\system32\msvcp80.dll
2009-03-08 13:13 . 2009-03-08 13:13 28672 ----a-w c:\windows\system32\eEmpty.exe
2009-02-24 17:53 . 2009-02-24 17:54 410984 ----a-w c:\windows\system32\deploytk.dll
2009-02-09 14:07 . 2002-09-23 12:00 1846784 ----a-w c:\windows\system32\win32k.sys
2008-11-26 16:28 . 2008-11-26 16:08 231 ----a-w c:\program files\config.ini
2005-02-05 08:38 . 2008-11-26 16:08 1024000 ----a-w c:\program files\Milan's GUI 4.exe
2005-02-03 15:45 . 2008-11-26 16:08 3505 -c--a-w c:\program files\release notes.txt
2004-06-30 12:20 . 2008-11-26 16:08 160768 ----a-w c:\program files\fmod.dll
2000-02-01 04:40 . 2007-12-28 12:49 557328 -c--a-w c:\program files\Common Files\DAO360.DLL
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-05-30 21718312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="c:\windows\System32\sistray.EXE" [2003-05-21 303104]
"SiS KHooker"="c:\windows\System32\khooker.exe" [2003-05-29 294912]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-03-31 1783808]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2007-04-16 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Hodiny_T.lnk - c:\program files\Hodiny_T\Hodiny.exe [2008-3-15 675840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_11\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320]
S1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2009-04-05 87056]
S1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2009-04-05 24208]
S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2009-03-31 141312]
S3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2008-04-13 69120]

.
.
------- Doplňkový sken -------
.
mWindow Title = Microsoft Internet Explorer
TCP: {D8521435-800C-495F-A149-036CAEE1B84D} = 192.168.168.3
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\zdenislávek\Data aplikací\Mozilla\Firefox\Profiles\olqpq6p0.default\
FF - prefs.js: browser.startup.homepage - hxxp://cs.start2.mozilla.com/firefox?cl ... s:official
FF - prefs.js: keyword.enabled - false
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-27 19:09
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(1812)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Celkový čas: 2009-04-27 19:16 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-04-27 17:15

Před spuštěním: 9 207 406 592
Po spuštění: 9 169 432 576

151

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\windows\system32\runouce.exe

Folder::
c:\windows\system32\runouce.exe

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

[zdenislav]

Provedu
Ještě sem chtěl podotknouti, že jestli to myslelo tou konzolou tu věc, která vytváří bod obnovení, tak tu mám zaplou, body vytváří a tváří se, že funguje.
Jdu na další log.
Díííky !

[zdenislav]

napsalo mi to : zkoušeli jste aplikovat cfscript? Zdáse, že je špatné hláskování. Pak tam problikli dva řádky Killing a okno CF zmizelo a nic se neděje.
Jo a jak sem vytvářel ten soubor(textovej) tak sem tam nacvakal všechno co sem měl a ještě tam zbývala kolonka na nějaký koodování, ale tu sem nechal přednastavenou, tak třeba...

[jaro3]

Script je napsán dobře , zkus to ještě s tímto:

Kód: Vybrat vše

KillAll::
File::
c:\windows\system32\runouce.exe

Folder::
c:\windows\system32\runouce.exe


Pokud chce Cf instalovat konzoli , tak jí povol, za chvíli končím , vypadá to , že budu až pozítří..

[zdenislav]

Vytvořil si bod obnovení, pokoušel se stáhnout tu konzoli, což se mu nezdařilo, protože podle něj neexistuje spojení s internetem :-)
Pak to proskenoval.
Už půjdu taky spát, ale všim sem si, že na začátku logu je něco o COMODO firewalu. Ten sem kdysi horkotěžko dostával z pc, asi po něm zbyly nějaký věci. A doufám, že ty nezloběj. No nechám to na vás

ComboFix 09-04-27.01 - zdenislávek 27.04.2009 20:59.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.445.198 [GMT 2:00]
Spuštěný z: c:\documents and settings\zdenislávek\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\zdenislávek\Plocha\CFScript.txt
FW: COMODO Firewall Pro *enabled*
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
c:\windows\system32\runouce.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\runouce.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-05-27 do 2009-4-27 )))))))))))))))))))))))))))))))
.

2009-04-26 21:32 . 2009-04-26 21:32 -------- d-----w c:\documents and settings\zdenislávek\Data aplikací\Malwarebytes
2009-04-26 21:32 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 21:32 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-26 21:32 . 2009-04-26 21:32 -------- d-----w c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-04-26 21:32 . 2009-04-26 21:32 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-26 15:49 . 2009-04-26 15:49 -------- d-----w c:\program files\ICQ6
2009-04-26 15:49 . 2009-04-26 15:49 -------- d-----w c:\documents and settings\All Users\Data aplikací\Spyware Terminator
2009-04-26 15:49 . 2009-04-27 16:54 -------- d-----w c:\documents and settings\zdenislávek\Data aplikací\Spyware Terminator
2009-04-26 15:49 . 2009-04-27 19:06 -------- d-----w c:\program files\Spyware Terminator
2009-04-26 15:49 . 2009-04-27 19:03 -------- d-----w c:\program files\WinClamAVShield
2009-04-26 04:09 . 2009-04-26 15:49 -------- d-----w c:\documents and settings\zdenislávek\Data aplikací\Spyware Terminator(2)
2009-04-26 04:09 . 2009-04-26 15:49 -------- d-----w c:\program files\Spyware Terminator(2)
2009-04-11 09:17 . 2009-04-26 16:13 -------- d-----w c:\program files\ESET
2009-04-05 17:57 . 2009-04-05 17:57 143104 ----a-w c:\windows\system32\guard32.dll
2009-04-05 17:57 . 2009-04-05 17:57 87056 ----a-w c:\windows\system32\drivers\cmdguard.sys
2009-04-05 17:57 . 2009-04-05 17:57 24208 ----a-w c:\windows\system32\drivers\cmdhlp.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-26 21:36 . 2008-05-31 12:09 -------- d-----w c:\program files\Capture-A-ScreenShot
2009-04-05 13:48 . 2006-04-02 15:59 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-04-01 05:04 . 2006-03-18 23:32 43552 -c--a-w c:\documents and settings\zdenislávek\Local Settings\Data aplikací\GDIPFONTCACHEV1.DAT
2009-03-31 06:18 . 2008-02-09 11:12 141312 ----a-w c:\windows\system32\drivers\sp_rsdrv2.sys
2009-03-30 15:52 . 2002-09-23 12:00 82750 ----a-w c:\windows\system32\perfc005.dat
2009-03-30 15:52 . 2002-09-23 12:00 438070 ----a-w c:\windows\system32\perfh005.dat
2009-03-13 08:17 . 2009-03-13 08:17 -------- d-----w c:\program files\MSBuild
2009-03-13 08:17 . 2009-03-13 08:17 -------- d-----w c:\program files\Reference Assemblies
2009-03-08 13:13 . 2009-03-08 13:13 626688 ----a-w c:\windows\system32\msvcr80.dll
2009-03-08 13:13 . 2009-03-08 13:13 548864 ----a-w c:\windows\system32\msvcp80.dll
2009-03-08 13:13 . 2009-03-08 13:13 28672 ----a-w c:\windows\system32\eEmpty.exe
2009-02-24 17:53 . 2009-02-24 17:54 410984 ----a-w c:\windows\system32\deploytk.dll
2009-02-09 14:07 . 2002-09-23 12:00 1846784 ----a-w c:\windows\system32\win32k.sys
2008-11-26 16:28 . 2008-11-26 16:08 231 ----a-w c:\program files\config.ini
2005-02-05 08:38 . 2008-11-26 16:08 1024000 ----a-w c:\program files\Milan's GUI 4.exe
2005-02-03 15:45 . 2008-11-26 16:08 3505 -c--a-w c:\program files\release notes.txt
2004-06-30 12:20 . 2008-11-26 16:08 160768 ----a-w c:\program files\fmod.dll
2000-02-01 04:40 . 2007-12-28 12:49 557328 -c--a-w c:\program files\Common Files\DAO360.DLL
.

((((((((((((((((((((((((((((( SnapShot@2009-04-27_17.10.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-27 19:05 . 2009-04-27 19:05 16384 c:\windows\temp\Perflib_Perfdata_71c.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-05-30 21718312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="c:\windows\System32\sistray.EXE" [2003-05-21 303104]
"SiS KHooker"="c:\windows\System32\khooker.exe" [2003-05-29 294912]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-03-31 1783808]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2007-04-16 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Hodiny_T.lnk - c:\program files\Hodiny_T\Hodiny.exe [2008-3-15 675840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_11\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320]
S1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2009-04-05 87056]
S1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2009-04-05 24208]
S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2009-03-31 141312]
S3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2008-04-13 69120]

.
.
------- Doplňkový sken -------
.
mWindow Title = Microsoft Internet Explorer
TCP: {D8521435-800C-495F-A149-036CAEE1B84D} = 192.168.168.3
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\zdenislávek\Data aplikací\Mozilla\Firefox\Profiles\olqpq6p0.default\
FF - prefs.js: browser.startup.homepage - hxxp://cs.start2.mozilla.com/firefox?cl ... s:official
FF - prefs.js: keyword.enabled - false
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-27 21:05
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3872)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Celkový čas: 2009-04-27 21:12 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-04-27 19:11
ComboFix2.txt 2009-04-27 17:16

Před spuštěním: 9 165 053 952
Po spuštění: 9 158 803 456

156

[zdenislav]

Chtěl bych připomenout můj problém Jaro(vi), nebo někomu kdo by věděl.
Připomenu, že mi nejdou aktualizovat programi ani (origo) Wokna.
Jinak vše bez problému. Až podezřele

[jaro3]

Máš tam 2x SpywareTerminator:
c:\program files\Spyware Terminator(2), tak jeden odinstaluj ( spíše smaž).

Takže dočistíme a odstraníme COMODO.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
c:\windows\system32\guard32.dll
c:\windows\system32\drivers\cmdguard.sys
c:\windows\system32\drivers\cmdhlp.sys
c:\windows\system32\eEmpty.exe

Folder::
c:\program files\ESET

Driver::
cmdguard
cmdhlp

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu .
*****************************************************************************************************************************************
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

sc config cmdGuard start= disabled
sc stop cmdGuard
sc delete cmdGuard
sc config cmdHlp start= disabled
sc stop cmdHlp
sc delete cmdHlp


ulož si ho na plochu jako-název remove.bat a ulož ho jako typ všechny soubory , najdi na ploše tento soubor , spusť ho poklepáním.Otevře se Dosovské okno a zavře. Restartuj comp.
*****************************************************************************************************************************************
Pošli nový log z HJT.

Nainstalovat nějaký free antivir: Avira, Avast ,AVG..