Prosim o kontrolu logu

Ivca · Příspěvekod **Ivca** » 07 čer 2009 14:30

Prosím o pomoc,
ve stručnosti: při startu se mi proti mé vůli spouští (2X) kecálek mIRC (blíže viz můj příspěvek http://www.pc-help.cz/viewtopic.php?f=95&t=41216).

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:37, on 7.6.2009
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINNT\System32\svnhost.exe
C:\WINNT\System32\internat.exe
C:\WINNT\Explorer.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\henry\LOCALS~1\Temp\gsf3D19\lsass.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\NirCmd.exe
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\henry\Plocha\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\Msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Network Services] svnhost.exe
O4 - HKLM\..\Run: [Tulkarm] C:\DOCUME~1\henry\LOCALS~1\Temp\gsf3D19\lsass.exe
O4 - HKLM\..\Run: [ISPSERV1CE] C:\DOCUME~1\henry\LOCALS~1\Temp\gsfFC1\smss.exe
O4 - HKLM\..\RunServices: [Network Services] svnhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Network Services] svnhost.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Network Services] svnhost.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: dBpowerAMP.lnk = C:\Program Files\Illustrate\dBpowerAMP\Amp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINNT\System32\Print602.dll
O9 - Extra 'Tools' menuitem: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINNT\System32\Print602.dll
O9 - Extra button: Print2Mail - {A156A7A7-14A2-4282-B487-8E25AB68D608} - C:\WINNT\System32\Print602.dll
O9 - Extra 'Tools' menuitem: Print2Mail - {A156A7A7-14A2-4282-B487-8E25AB68D608} - C:\WINNT\System32\Print602.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Print2Picture - {F242786D-E1AE-49e7-BD01-E1ABCA405241} - C:\WINNT\System32\Print602.dll
O9 - Extra 'Tools' menuitem: Print2Picture - {F242786D-E1AE-49e7-BD01-E1ABCA405241} - C:\WINNT\System32\Print602.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://msn.atlas.cz
O14 - IERESET.INF: MS_START_PAGE_URL=http://msn.atlas.cz
O16 - DPF: BSC Applet Security - https://ra.internetbanka.cz/ra31/bin/ap ... .99.99.cab
O16 - DPF: BSC Applet Utilities - https://ra.internetbanka.cz/ra31/bin/ap ... .99.99.cab
O16 - DPF: BSC Business Objects - https://ra.internetbanka.cz/ra31/bin/bu ... .99.99.cab
O16 - DPF: BSC Java Components Library - https://ra.internetbanka.cz/ra31/bin/jc ... .99.99.cab
O16 - DPF: BSC Text Utilities - https://ra.internetbanka.cz/ra31/bin/te ... .99.99.cab
O16 - DPF: BSC Utilities - https://ra.internetbanka.cz/ra31/bin/ut ... .99.99.cab
O16 - DPF: GEMINI IBS 31 GECB Applet Security - https://ra.internetbanka.cz/ra31/bin/IB ... .2.0.1.cab
O16 - DPF: GEMINI IBS 31 GECB Applet Utilities - https://ra.internetbanka.cz/ra31/bin/IB ... .0.1.0.cab
O16 - DPF: IAIK Java Cryptography Extension - https://ra.internetbanka.cz/ra31/bin/IA ... .99.99.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId= ... lcid=0x409
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

--
End of file - 5861 bytes

Reklama

Příspěvekod **jaro3** » 07 čer 2009 15:22

No , toto vypadá....

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

Ivca · Příspěvekod **Ivca** » 07 čer 2009 17:01

Zatím moc děkuju za pomoc, bohužel mi to neběží a hlásí chybovou hlášku (Error Code 718 (-2146893799, 0)), kterou mám ohlásit na tým podpory... Tak jdu hlásit na tým podpory:-(.

Příspěvekod **jaro3** » 07 čer 2009 17:05

program je nainstalován , ale nejde spustit? Zkus ho v nouz. režimu.

Ivca · Příspěvekod **Ivca** » 07 čer 2009 17:31

Bohužel, hláška stejná i v nouzovém režimu:-(. Nechodí...

Příspěvekod **jaro3** » 07 čer 2009 17:35

Zkus si zde
http://www.edisk.cz/stahni/06710/tools.rar_3.6MB.html

stáhnout některé prográmky co by se nám mohly hodit.
Rozbal si archiv do svého adresáře. Soubory jsou záměrně pojmenované jinak než původní v návodech, tak se nediv.
Zkus pak spustit.
itr - RSIT
buss - DDS
VerTerm= Combofix
pokud ti pojede VerTerm, tak sem vlož z něho log.

Návod na Combofix:
ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Můžeš použít také i v nouz. režimu.

Pokud nepůjde spusť itr=RSIT a dej sem z něho log.

Ivca · Příspěvekod **Ivca** » 07 čer 2009 21:35

Omlouvám se, možná to bývá obvykle kratší:-)
Díky moc, čekám na verdikt.
---

ComboFix 09-06-07.01 - henry 07.06.2009 21:20.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.1.1250.420.1029.18.1151.860 [GMT 2:00]
Spuštěný z: c:\documents and settings\henry\Plocha\VerTerm.exe
* Resident AV is active

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\k-1-3542-4232123213-7676767-8888886
c:\recycler\k-1-3542-4232123213-7676767-8888886\Desktop.ini
c:\winnt\SNMPAPI.DLL
c:\winnt\system32\autorun.ini
c:\winnt\Web\default.htt

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-05-07 do 2009-06-07 )))))))))))))))))))))))))))))))
.

2009-06-07 19:19 . 2009-06-07 19:19 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2a0.dat
2009-06-07 14:48 . 2009-05-26 11:20 40160 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-06-07 14:48 . 2009-06-07 14:48 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-07 14:48 . 2009-05-26 11:19 18456 ----a-w- c:\winnt\system32\drivers\mbam.sys
2009-06-07 12:15 . 2009-06-07 12:15 -------- d-----w- c:\program files\Trend Micro
2009-05-30 12:39 . 2009-05-30 12:39 -------- d-----w- c:\program files\CCleaner
2009-05-22 17:30 . 2009-05-22 17:30 127 ----a-w- c:\winnt\system32\pcnhmlws.bat
2009-05-21 18:05 . 2009-05-21 18:08 37812 ---ha-w- c:\winnt\system32\eunis.exe
2009-05-21 12:10 . 2009-05-21 12:17 58262 ---ha-w- c:\winnt\system32\xxdcipe.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-07 15:24 . 2008-11-09 13:14 -------- d-----w- c:\program files\Mozilla Thunderbird
2009-06-07 15:12 . 2002-09-10 17:48 24 ----a-w- c:\winnt\system32\DVCStateBkp-{00000002-00000000-00000003-00001102-00000002-80641102}.dat
2009-06-07 15:12 . 2002-09-10 17:48 24 ----a-w- c:\winnt\system32\DVCState-{00000002-00000000-00000003-00001102-00000002-80641102}.dat
2009-05-18 21:18 . 2008-12-12 08:08 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_29c.dat
2009-05-07 19:22 . 2004-12-03 18:28 226 ----a-w- c:\winnt\tpinrank.dat
2009-05-02 11:57 . 2009-05-02 11:57 -------- d-----w- c:\program files\DsNET Corp
2009-04-28 21:18 . 2009-04-28 21:18 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_768.dat
2009-04-21 19:19 . 2009-04-16 19:36 -------- d-----w- c:\program files\Celtx
2009-04-03 19:15 . 2009-04-03 19:15 1645320 ----a-w- c:\winnt\system32\gdiplus.dll
2009-04-01 13:08 . 2009-04-01 13:07 776130 ----a-w- c:\winnt\system32\er.com
2009-04-01 11:16 . 2009-04-01 11:16 7833 ----a-w- c:\winnt\system32\hehe.com
2009-04-01 10:27 . 2009-04-01 10:24 211456 --sh--r- c:\winnt\system32\svnhost.exe
2002-09-10 17:11 . 2002-09-10 17:11 22034 ---h--w- c:\program files\folder.htt
1996-12-02 15:44 . 1996-12-02 15:44 582144 ----a-w- c:\program files\Common Files\dao350.dll
1999-04-23 22:22 . 1999-04-23 22:22 12 --sha-w- c:\winnt\system\WININETICMP32.drv
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2000-09-05 20752]
"Network Services"="svnhost.exe" - c:\winnt\system32\svnhost.exe [2009-04-01 211456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTStartup"="c:\program files\Creative\Splash Screen\CTEaxSpl.EXE" [2001-12-19 28672]
"NeroFilterCheck"="c:\winnt\system32\NeroCheck.exe" [2001-07-09 155648]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2000-09-05 111888]
"Network Services"="svnhost.exe" - c:\winnt\system32\svnhost.exe [2009-04-01 211456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Network Services"="svnhost.exe" - c:\winnt\system32\svnhost.exe [2009-04-01 211456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2000-09-05 20752]
"Network Services"="svnhost.exe" - c:\winnt\system32\svnhost.exe [2009-04-01 211456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2000-09-05 189200]

c:\documents and settings\henry\Nabˇdka Start\Programy\Po spuçtŘnˇ\
dBpowerAMP.lnk - c:\program files\Illustrate\dBpowerAMP\Amp.exe [2005-2-19 208958]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinFastDTV"=c:\program files\WinFast\WFDTV\DTVSchdl.exe
"WinFast Schedule"=c:\program files\WinFast\WFTVFM\WFWIZ.exe
"Repair Registry Pro"=c:\program files\Repair Registry Pro\RepairRegistryPro.exe -s
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe"
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" -lang 1033 -lock
"SmartDefrag"="c:\program files\IObit\IObit SmartDefrag\IsdNew.exe" /StartUp

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 Stealth;Stealth;c:\winnt\system32\drivers\stealth.sys [13.5.2002 11:14 77920]
R1 epfwtdir;epfwtdir;c:\winnt\system32\drivers\epfwtdir.sys [1.7.2008 10:04 34312]
R2 BsUDF;BsUDF;c:\winnt\system32\drivers\bsudf.sys [17.1.2003 19:14 308233]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [1.7.2008 10:02 468224]
R2 PStrip;PSTRIP;c:\winnt\system32\drivers\PStrip.sys [24.7.2001 1:31 21616]
R2 Vcs;Vcs support;c:\winnt\system32\drivers\Vcs.sys [2.4.2003 18:44 6852]
S2 PCC_PFW;PC-Cillin Personal Firewall;c:\winnt\System32\Drivers\PCC_PFW.sys --> c:\winnt\System32\Drivers\PCC_PFW.sys [?]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\winnt\system32\drivers\adusbmdm65.sys [18.12.2005 18:02 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\winnt\system32\drivers\adusbser65.sys [18.12.2005 18:01 64896]
S3 K320bus;Sony Ericsson K320 driver (WDM);c:\winnt\system32\drivers\K320bus.sys [1.5.2008 9:24 61504]
S3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2.11.2006 21:32 9446]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

SafeBoot-procexp90.Sys

.
------- Doplňkový sken -------
.
uStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
IE: {{5B7027AD-AA6D-40df-8F56-9560F277D2A5} - {0f420c1e-9ed6-4da5-8b91-eddde887a1dc} - c:\winnt\System32\Print602.dll
IE: {{A156A7A7-14A2-4282-B487-8E25AB68D608} - {E2AC7314-3101-4d2b-B4AB-AD381381717F} - c:\winnt\System32\Print602.dll
IE: {{F242786D-E1AE-49e7-BD01-E1ABCA405241} - {861B46DD-E551-4dab-A464-208F44F7ABEA} - c:\winnt\System32\Print602.dll
LSP: %SystemRoot%\system32\msafd.dll
DPF: BSC Applet Security - hxxps://ra.internetbanka.cz/ra31/bin/ap ... .99.99.cab
DPF: BSC Applet Utilities - hxxps://ra.internetbanka.cz/ra31/bin/ap ... .99.99.cab
DPF: BSC Business Objects - hxxps://ra.internetbanka.cz/ra31/bin/bu ... .99.99.cab
DPF: BSC Java Components Library - hxxps://ra.internetbanka.cz/ra31/bin/jc ... .99.99.cab
DPF: BSC Text Utilities - hxxps://ra.internetbanka.cz/ra31/bin/te ... .99.99.cab
DPF: BSC Utilities - hxxps://ra.internetbanka.cz/ra31/bin/ut ... .99.99.cab
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: GEMINI IBS 31 GECB Applet Security - hxxps://ra.internetbanka.cz/ra31/bin/IB ... .2.0.1.cab
DPF: GEMINI IBS 31 GECB Applet Utilities - hxxps://ra.internetbanka.cz/ra31/bin/IB ... .0.1.0.cab
DPF: IAIK Java Cryptography Extension - hxxps://ra.internetbanka.cz/ra31/bin/IA ... .99.99.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\henry\Data aplikací\Mozilla\Firefox\Profiles\ue005yyl.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/intl/cs/

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-07 21:22
Windows 5.0.2195 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = c:\program files\Creative\Splash Screen\CTEaxSpl.EXE /run?+???!lw^!l????j??x82?x????4???&??x4??????x4???????D8!l4????????<4?x???\?+?\?+?\?+??????????Z?wXmU?\?+?\?+??????`!l?G!lH?T?h???\?+?\?+?\?+???&l????\?+???&l\?+??<4?d?!l?<4??C@?x?????#lx????)?x\?+???@

skenování skrytých souborů ...

c:\winnt\system32\Perflib_Perfdata_398.dat 16384 bytes

sken byl úspešně dokončen
skryté soubory: 1

**************************************************************************
.
Celkový čas: 2009-06-07 21:24
ComboFix-quarantined-files.txt 2009-06-07 19:23

Před spuštěním: 3 116 085 248
Po spuštění: 3 149 758 464

141

Příspěvekod **jaro3** » 08 čer 2009 07:59

Já se taky omlouvám , včera už jsem nemohl...

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\winnt\system32\pcnhmlws.bat
c:\winnt\system32\xxdcipe.exe
c:\winnt\tpinrank.dat
c:\winnt\system32\svnhost.exe
c:\program files\folder.htt

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Network Services"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Network Services"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Network Services"=- 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Network Services"=- 
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000000
"AntiVirusDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Toto otestuj na Virustotal
c:\winnt\system\WININETICMP32.drv
Vlož sem pak odkaz výsledku.

Ivca · Příspěvekod **Ivca** » 08 čer 2009 09:01

Ahoj, moc díky. Momentálně jsem na služební cestě, tudíž né doma u svýho počítače. Večer na to zase sednu a odepíšu. Ještě jednou díky!

Příspěvekod **jaro3** » 08 čer 2009 09:08

Nemáš zač , večer nevím zda tady budu, když tak zítra to doděláme..

Ivca · Příspěvekod **Ivca** » 08 čer 2009 22:35

Ahoj,
začnu odkazem na VirusTotal (vypadá to OK):
http://www.virustotal.com/cs/analisis/0 ... 1244492670

A teď ty logy:

ComboFix 09-06-07.07 - henry 08.06.2009 22:08.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.1.1250.420.1029.18.1151.890 [GMT 2:00]
Spuštěný z: c:\documents and settings\henry\Plocha\VerTerm.exe
Použité ovládací přepínače :: c:\documents and settings\henry\Plocha\CFScript.txt
* Resident AV is active

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
"c:\program files\folder.htt"
"c:\winnt\system32\pcnhmlws.bat"
"c:\winnt\system32\svnhost.exe"
"c:\winnt\system32\xxdcipe.exe"
"c:\winnt\tpinrank.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\folder.htt
c:\winnt\system32\pcnhmlws.bat
c:\winnt\system32\svnhost.exe
c:\winnt\system32\xxdcipe.exe
c:\winnt\tpinrank.dat

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-05-08 do 2009-06-08 )))))))))))))))))))))))))))))))
.

2009-06-08 20:08 . 2009-06-08 20:08 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2b4.dat
2009-06-07 14:48 . 2009-05-26 11:20 40160 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-06-07 14:48 . 2009-06-07 14:48 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-07 14:48 . 2009-05-26 11:19 18456 ----a-w- c:\winnt\system32\drivers\mbam.sys
2009-06-07 12:15 . 2009-06-07 12:15 -------- d-----w- c:\program files\Trend Micro
2009-05-30 12:39 . 2009-05-30 12:39 -------- d-----w- c:\program files\CCleaner
2009-05-21 18:05 . 2009-05-21 18:08 37812 ---ha-w- c:\winnt\system32\eunis.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-08 19:29 . 2008-11-09 13:14 -------- d-----w- c:\program files\Mozilla Thunderbird
2009-06-07 22:04 . 2002-09-10 17:48 24 ----a-w- c:\winnt\system32\DVCStateBkp-{00000002-00000000-00000003-00001102-00000002-80641102}.dat
2009-06-07 22:04 . 2002-09-10 17:48 24 ----a-w- c:\winnt\system32\DVCState-{00000002-00000000-00000003-00001102-00000002-80641102}.dat
2009-05-18 21:18 . 2008-12-12 08:08 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_29c.dat
2009-05-02 11:57 . 2009-05-02 11:57 -------- d-----w- c:\program files\DsNET Corp
2009-04-28 21:18 . 2009-04-28 21:18 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_768.dat
2009-04-21 19:19 . 2009-04-16 19:36 -------- d-----w- c:\program files\Celtx
2009-04-03 19:15 . 2009-04-03 19:15 1645320 ----a-w- c:\winnt\system32\gdiplus.dll
2009-04-01 13:08 . 2009-04-01 13:07 776130 ----a-w- c:\winnt\system32\er.com
2009-04-01 11:16 . 2009-04-01 11:16 7833 ----a-w- c:\winnt\system32\hehe.com
1996-12-02 15:44 . 1996-12-02 15:44 582144 ----a-w- c:\program files\Common Files\dao350.dll
1999-04-23 22:22 . 1999-04-23 22:22 12 --sha-w- c:\winnt\system\WININETICMP32.drv
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2000-09-05 20752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTStartup"="c:\program files\Creative\Splash Screen\CTEaxSpl.EXE" [2001-12-19 28672]
"NeroFilterCheck"="c:\winnt\system32\NeroCheck.exe" [2001-07-09 155648]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2000-09-05 111888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2000-09-05 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2000-09-05 189200]

c:\documents and settings\henry\Nabˇdka Start\Programy\Po spuçtŘnˇ\
dBpowerAMP.lnk - c:\program files\Illustrate\dBpowerAMP\Amp.exe [2005-2-19 208958]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinFastDTV"=c:\program files\WinFast\WFDTV\DTVSchdl.exe
"WinFast Schedule"=c:\program files\WinFast\WFTVFM\WFWIZ.exe
"Repair Registry Pro"=c:\program files\Repair Registry Pro\RepairRegistryPro.exe -s
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe"
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" -lang 1033 -lock
"SmartDefrag"="c:\program files\IObit\IObit SmartDefrag\IsdNew.exe" /StartUp

R0 Stealth;Stealth;c:\winnt\system32\drivers\stealth.sys [13.5.2002 11:14 77920]
R1 epfwtdir;epfwtdir;c:\winnt\system32\drivers\epfwtdir.sys [1.7.2008 10:04 34312]
R2 BsUDF;BsUDF;c:\winnt\system32\drivers\bsudf.sys [17.1.2003 19:14 308233]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [1.7.2008 10:02 468224]
R2 PStrip;PSTRIP;c:\winnt\system32\drivers\PStrip.sys [24.7.2001 1:31 21616]
R2 Vcs;Vcs support;c:\winnt\system32\drivers\Vcs.sys [2.4.2003 18:44 6852]
S2 PCC_PFW;PC-Cillin Personal Firewall;c:\winnt\System32\Drivers\PCC_PFW.sys --> c:\winnt\System32\Drivers\PCC_PFW.sys [?]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\winnt\system32\drivers\adusbmdm65.sys [18.12.2005 18:02 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\winnt\system32\drivers\adusbser65.sys [18.12.2005 18:01 64896]
S3 K320bus;Sony Ericsson K320 driver (WDM);c:\winnt\system32\drivers\K320bus.sys [1.5.2008 9:24 61504]
S3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2.11.2006 21:32 9446]
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
IE: {{5B7027AD-AA6D-40df-8F56-9560F277D2A5} - {0f420c1e-9ed6-4da5-8b91-eddde887a1dc} - c:\winnt\System32\Print602.dll
IE: {{A156A7A7-14A2-4282-B487-8E25AB68D608} - {E2AC7314-3101-4d2b-B4AB-AD381381717F} - c:\winnt\System32\Print602.dll
IE: {{F242786D-E1AE-49e7-BD01-E1ABCA405241} - {861B46DD-E551-4dab-A464-208F44F7ABEA} - c:\winnt\System32\Print602.dll
LSP: %SystemRoot%\system32\msafd.dll
DPF: BSC Applet Security - hxxps://ra.internetbanka.cz/ra31/bin/ap ... .99.99.cab
DPF: BSC Applet Utilities - hxxps://ra.internetbanka.cz/ra31/bin/ap ... .99.99.cab
DPF: BSC Business Objects - hxxps://ra.internetbanka.cz/ra31/bin/bu ... .99.99.cab
DPF: BSC Java Components Library - hxxps://ra.internetbanka.cz/ra31/bin/jc ... .99.99.cab
DPF: BSC Text Utilities - hxxps://ra.internetbanka.cz/ra31/bin/te ... .99.99.cab
DPF: BSC Utilities - hxxps://ra.internetbanka.cz/ra31/bin/ut ... .99.99.cab
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: GEMINI IBS 31 GECB Applet Security - hxxps://ra.internetbanka.cz/ra31/bin/IB ... .2.0.1.cab
DPF: GEMINI IBS 31 GECB Applet Utilities - hxxps://ra.internetbanka.cz/ra31/bin/IB ... .0.1.0.cab
DPF: IAIK Java Cryptography Extension - hxxps://ra.internetbanka.cz/ra31/bin/IA ... .99.99.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\henry\Data aplikací\Mozilla\Firefox\Profiles\ue005yyl.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/intl/cs/

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-08 22:11
Windows 5.0.2195 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = c:\program files\Creative\Splash Screen\CTEaxSpl.EXE /run?+???!lw^!l????j??x82?x????4???&??x4??????x4???????D8!l4????????<4?x???\?+?\?+?\?+??????????Z?w??T?\?+?\?+??????`!l?G!l??T?h???\?+?\?+?\?+???&l????\?+???&l\?+??<4?d?!l?<4??C@?x?????#lx????)?x\?+???@

skenování skrytých souborů ...

c:\winnt\system32\Perflib_Perfdata_3d0.dat 16384 bytes

sken byl úspešně dokončen
skryté soubory: 1

**************************************************************************
.
Celkový čas: 2009-06-08 22:12
ComboFix-quarantined-files.txt 2009-06-08 20:12
ComboFix2.txt 2009-06-07 19:24

Před spuštěním: 3 086 991 360
Po spuštění: 3 079 225 344

132

---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:01, on 8.6.2009
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINNT\System32\internat.exe
C:\WINNT\Explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\henry\Plocha\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\Msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: dBpowerAMP.lnk = C:\Program Files\Illustrate\dBpowerAMP\Amp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINNT\System32\Print602.dll
O9 - Extra 'Tools' menuitem: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINNT\System32\Print602.dll
O9 - Extra button: Print2Mail - {A156A7A7-14A2-4282-B487-8E25AB68D608} - C:\WINNT\System32\Print602.dll
O9 - Extra 'Tools' menuitem: Print2Mail - {A156A7A7-14A2-4282-B487-8E25AB68D608} - C:\WINNT\System32\Print602.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Print2Picture - {F242786D-E1AE-49e7-BD01-E1ABCA405241} - C:\WINNT\System32\Print602.dll
O9 - Extra 'Tools' menuitem: Print2Picture - {F242786D-E1AE-49e7-BD01-E1ABCA405241} - C:\WINNT\System32\Print602.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://msn.atlas.cz
O14 - IERESET.INF: MS_START_PAGE_URL=http://msn.atlas.cz
O16 - DPF: BSC Applet Security - https://ra.internetbanka.cz/ra31/bin/ap ... .99.99.cab
O16 - DPF: BSC Applet Utilities - https://ra.internetbanka.cz/ra31/bin/ap ... .99.99.cab
O16 - DPF: BSC Business Objects - https://ra.internetbanka.cz/ra31/bin/bu ... .99.99.cab
O16 - DPF: BSC Java Components Library - https://ra.internetbanka.cz/ra31/bin/jc ... .99.99.cab
O16 - DPF: BSC Text Utilities - https://ra.internetbanka.cz/ra31/bin/te ... .99.99.cab
O16 - DPF: BSC Utilities - https://ra.internetbanka.cz/ra31/bin/ut ... .99.99.cab
O16 - DPF: GEMINI IBS 31 GECB Applet Security - https://ra.internetbanka.cz/ra31/bin/IB ... .2.0.1.cab
O16 - DPF: GEMINI IBS 31 GECB Applet Utilities - https://ra.internetbanka.cz/ra31/bin/IB ... .0.1.0.cab
O16 - DPF: IAIK Java Cryptography Extension - https://ra.internetbanka.cz/ra31/bin/IA ... .99.99.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId= ... lcid=0x409
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

--
End of file - 5432 bytes

Damned · Příspěvekod **Damned** » 09 čer 2009 00:24

jaro3 tu bude asi až dopoledne, musíš počkat na něj

Prosim o kontrolu logu Vyřešeno

Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Re: Prosim o kontrolu logu

Kdo je online