prosím o kontrolu Hijack This

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Pravidla fóra
Návod na použití programu HijackThis || Návod na vyčištění počítače CCleanerem || FAQ: Antiviry
Zamčeno
Telda.
Level 1
Level 1
Příspěvky: 71
Registrován: 25 říj 2008 22:17

prosím o kontrolu Hijack This

Příspěvek od Telda. »

Mám menší problém. Programem windows doctor jsem vyčistil počítač. Od této doby jakýkoliv otevřený dokument, soubor se kterým chci pohybovat, rolovat tak se mi vlní. Vůbec si nevím rady co s tím. V PC mám nainastalovaný antivirový program F-Secury profi antivirus.
Moc děkuji za pomoc.

Pro jistotu zasílám níže uvedené:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:18:20, on 13.7.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\ATKKBService.exe
E:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
E:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
E:\Program Files\F-Secure\Common\FSMA32.EXE
E:\Program Files\F-Secure\Common\FSMB32.EXE
E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
E:\Program Files\F-Secure\Common\FCH32.EXE
E:\WINDOWS\System32\svchost.exe
E:\Program Files\F-Secure\Anti-Virus\fsqh.exe
E:\Program Files\F-Secure\Common\FAMEH32.EXE
e:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
E:\Program Files\F-Secure\FSAUA\program\fsaua.exe
E:\Program Files\F-Secure\Anti-Virus\fssm32.exe
E:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
E:\Program Files\F-Secure\FSAUA\program\fsus.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\SimpleCenter\bin\win\sclauncher.exe
E:\Programy\QuickTime\qttask.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\F-Secure\Anti-Virus\fsav32.exe
E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
E:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
E:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O4 - HKLM\..\Run: [sclauncher] E:\Program Files\SimpleCenter\bin\win\sclauncher.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programy\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://E" onclick="window.open(this.href);return false;:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 6262874953" onclick="window.open(this.href);return false;
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - E:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - E:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - E:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - E:\Program Files\F-Secure\ORSP Client\fsorsp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - e:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: ServiceLayer - Nokia. - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6005 bytes
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Příspěvky: 43411
Registrován: 16 čer 2007 18:58
Bydliště: Jižní Čechy

Re: prosím o kontrolu Hijack This

Příspěvek od jaro3 »

Nejspíš Ti program smazal ovladače na grafickou kartu-zkontroluj.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Telda.
Level 1
Level 1
Příspěvky: 71
Registrován: 25 říj 2008 22:17

Re: prosím o kontrolu Hijack This

Příspěvek od Telda. »

Udělal jsem vše dle tvého návodu. Zde je výsledek

Malwarebytes' Anti-Malware 1.38
Verze databáze: 2419
Windows 5.1.2600 Service Pack 3

13.7.2009 18:39:18
mbam-log-2009-07-13 (18-39-14).txt

Typ skenu: Rychlý sken
Objektu skenováno: 99119
Uplynulý cas: 6 minute(s), 24 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
e:\documents and settings\Jarda\Plocha\RockXP4.exe (Spyware.Passwords) -> No action taken.
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Příspěvky: 43411
Registrován: 16 čer 2007 18:58
Bydliště: Jižní Čechy

Re: prosím o kontrolu Hijack This

Příspěvek od jaro3 »

To sis nejspíše stáhnul zavirovaný change product key, příště pozor!

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.

Vypni rez. ochrany + firewall u F-Secure.

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

Budu asi za 2h....
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Telda.
Level 1
Level 1
Příspěvky: 71
Registrován: 25 říj 2008 22:17

Re: prosím o kontrolu Hijack This

Příspěvek od Telda. »

Dal jsem skenovat a zde je výsledek
Malwarebytes' Anti-Malware 1.38
Verze databáze: 2420
Windows 5.1.2600 Service Pack 3

13.7.2009 20:51:27
mbam-log-2009-07-13 (20-51-27).txt

Typ skenu: Rychlý sken
Objektu skenováno: 99268
Uplynulý cas: 4 minute(s), 52 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Příspěvky: 43411
Registrován: 16 čer 2007 18:58
Bydliště: Jižní Čechy

Re: prosím o kontrolu Hijack This

Příspěvek od jaro3 »

Ještě ten Combofix.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Telda.
Level 1
Level 1
Příspěvky: 71
Registrován: 25 říj 2008 22:17

Re: prosím o kontrolu Hijack This

Příspěvek od Telda. »

Už pracuji na ComboFix.
Při skenu Malwarebytes' Anti-Malware nebyl nalezen žádný infikovaný soubor a vůbec nic jsem s tím nedělal.
Nahoru
Telda.
Level 1
Level 1
Příspěvky: 71
Registrován: 25 říj 2008 22:17

Re: prosím o kontrolu Hijack This

Příspěvek od Telda. »

Zasílám výsledek - log. Když jsem zapnul Combo Fix, tak bylo sděleno následující : Tento počítač nemá nainstalovanou "konzolu pro zotavení". zaškrtl jsem ANO a po chvilce bylo sděleno, že již má.

ComboFix 09-07-13.01 - Jarda 13.07.2009 21:19.1.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.601 [GMT 2:00]
Spuštěný z: e:\documents and settings\Jarda\Plocha\ComboFix.exe
AV: F-Secure Profi Antivirus 8.01 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: F-Secure Profi Antivirus 8.01 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-06-13 do 2009-07-13 )))))))))))))))))))))))))))))))
.

2009-07-13 06:26 . 2009-07-13 06:26 664 ----a-w- e:\windows\system32\d3d9caps.dat
2009-07-12 09:20 . 2009-07-12 09:20 -------- d-----w- e:\program files\Microsoft Silverlight
2009-07-12 06:41 . 2009-07-12 06:41 574 ----a-w- E:\cleanup.bat
2009-07-12 06:41 . 2009-07-12 06:41 135168 ----a-w- E:\zip.exe
2009-07-05 05:46 . 2009-07-05 05:46 0 ----a-w- e:\windows\nsreg.dat
2009-06-17 15:08 . 2008-08-26 08:26 18816 ----a-w- e:\windows\system32\drivers\pccsmcfd.sys
2009-06-17 15:08 . 2009-06-17 15:08 -------- d-----w- e:\program files\PC Connectivity Solution
2009-06-17 15:07 . 2009-02-09 06:37 7808 ----a-w- e:\windows\system32\drivers\usbser_lowerfltj.sys
2009-06-17 15:07 . 2009-02-09 06:37 7808 ----a-w- e:\windows\system32\drivers\usbser_lowerflt.sys
2009-06-17 15:07 . 2009-02-09 06:37 22016 ----a-w- e:\windows\system32\drivers\ccdcmbo.sys
2009-06-17 15:07 . 2009-02-09 06:37 659968 ----a-w- e:\windows\system32\nmwcdcocls.dll
2009-06-17 15:07 . 2009-02-09 06:37 17664 ----a-w- e:\windows\system32\drivers\ccdcmb.sys
2009-06-17 15:07 . 2009-02-09 06:32 1112288 ----a-w- e:\windows\system32\wdfcoinstaller01007.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-13 18:06 . 2009-02-24 17:45 -------- d-----w- e:\program files\F-Secure
2009-07-12 08:24 . 2008-10-25 19:38 -------- d-----w- e:\program files\Malwarebytes' Anti-Malware
2009-07-11 13:06 . 2002-06-15 14:57 -------- d-----w- e:\program files\ATI Technologies
2009-07-11 12:54 . 2002-06-14 20:03 -------- d--h--w- e:\program files\InstallShield Installation Information
2009-07-11 12:52 . 2007-05-23 17:42 -------- d-----w- e:\program files\Ubi Soft
2009-07-10 16:06 . 2009-05-29 18:39 -------- d-----w- e:\program files\Common Files\PCSuite
2009-07-10 16:06 . 2009-05-29 18:41 -------- d-----w- e:\program files\Common Files\Nokia
2009-07-10 16:06 . 2009-05-29 18:38 -------- d-----w- e:\program files\Nokia
2009-07-08 14:02 . 2009-02-24 17:47 33920 ----a-w- e:\windows\system32\drivers\fsbts.sys
2009-06-20 19:34 . 2003-04-16 12:00 967024 ----a-w- e:\windows\system32\perfh005.dat
2009-06-20 19:34 . 2003-04-16 12:00 345810 ----a-w- e:\windows\system32\perfc005.dat
2009-06-17 15:08 . 2009-05-29 18:39 -------- d-----w- e:\program files\DIFX
2009-06-17 09:27 . 2008-10-25 19:38 38160 ----a-w- e:\windows\system32\drivers\mbamswissarmy.sys
2009-06-17 09:27 . 2008-10-25 19:38 19096 ----a-w- e:\windows\system32\drivers\mbam.sys
2009-05-31 08:22 . 2009-05-31 08:22 0 ---ha-w- e:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-05-31 08:22 . 2009-05-31 08:22 0 ---ha-w- e:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-05-29 22:24 . 2009-05-29 22:24 0 ---ha-w- e:\windows\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2009-05-29 22:24 . 2009-05-29 22:24 0 ---ha-w- e:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-05-29 21:05 . 2009-05-29 21:05 -------- d-----w- e:\program files\Common Files\MainConcept
2009-05-29 18:48 . 2009-05-29 18:48 -------- d-----w- e:\program files\MSXML 6.0
2009-05-29 18:47 . 2009-05-29 18:46 -------- d-----w- e:\program files\SimpleCenter
2009-05-29 18:47 . 2009-05-29 18:47 -------- d-----w- e:\program files\Common Files\i4j_jres
2009-05-29 18:44 . 2009-05-29 18:43 -------- d-----w- e:\program files\Common Files\muvee Technologies
2009-05-13 05:05 . 2006-06-23 12:27 915456 ----a-w- e:\windows\system32\wininet.dll
2009-05-07 19:36 . 2009-05-07 19:36 128 ----a-w- e:\windows\system32\perf.dat
2009-05-07 15:33 . 2003-04-16 12:00 346624 ----a-w- e:\windows\system32\localspl.dll
2009-04-19 19:52 . 2003-04-16 12:00 1847168 ----a-w- e:\windows\system32\win32k.sys
2009-04-15 14:54 . 2004-03-06 02:20 585216 ----a-w- e:\windows\system32\rpcrt4.dll
2002-06-15 21:27 . 2002-06-15 21:27 0 ----a-w- e:\program files\_r_a_p_.tmp
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="e:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]
"ctfmon.exe"="e:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sclauncher"="e:\program files\SimpleCenter\bin\win\sclauncher.exe" [2007-10-11 94208]
"QuickTime Task"="e:\programy\QuickTime\qttask.exe" [2002-06-15 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programy\\Macromedia studio MX\\Dreamweaver MX\\Dreamweaver.exe"=
"e:\\Programy\\Macromedia studio MX\\Fireworks MX\\Fireworks.exe"=
"e:\\Programy\\Macromedia studio MX\\Flash MX\\Flash.exe"=
"e:\\Programy\\Macromedia studio MX\\FreeHand 10\\FreeHand 10.exe"=
"e:\\Programy\\Pinnacle\\programs\\RM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Program Files\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"=
"e:\\Programy\\Pinnacle\\programs\\Studio.exe"=
"e:\\HRY\\mohaa\\MOHAA.exe"=
"e:\\HRY\\Farcry\\Bin32\\FarCry.exe"=
"e:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 fsbts;fsbts;e:\windows\system32\drivers\fsbts.sys [24.2.2009 19:47 33920]
R0 FSFW;F-Secure Firewall Driver;e:\windows\system32\drivers\fsdfw.sys [24.2.2009 19:47 79872]
R1 F-Secure HIPS;F-Secure HIPS Driver;e:\program files\F-Secure\HIPS\drivers\fshs.sys [24.2.2009 19:46 67808]
R2 FSORSPClient;F-Secure ORSP Client;e:\program files\F-Secure\ORSP Client\fsorsp.exe [24.2.2009 19:46 55904]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;e:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [24.2.2009 19:46 99960]
R3 V0330VID;WebCam Vista/Live! Cam Chat;e:\windows\system32\drivers\V0330Vid.sys [24.1.2009 13:32 157696]
S3 magpsc;magpsc;e:\windows\system32\drivers\magpsc.sys [17.4.2009 15:55 53463]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);e:\windows\system32\drivers\s115bus.sys [1.10.2008 18:21 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;e:\windows\system32\drivers\s115mdfl.sys [1.10.2008 18:22 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;e:\windows\system32\drivers\s115mdm.sys [1.10.2008 18:22 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);e:\windows\system32\drivers\s115mgmt.sys [1.10.2008 18:22 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;e:\windows\system32\drivers\s115obex.sys [1.10.2008 18:22 98568]
S3 TVICHW32;TVICHW32;e:\windows\system32\drivers\TVICHW32.SYS [9.1.2009 20:09 23600]
S4 F-Secure Filter;F-Secure File System Filter;e:\program files\F-Secure\Anti-Virus\win2k\fsfilter.sys [24.2.2009 19:46 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;e:\program files\F-Secure\Anti-Virus\win2k\fsrec.sys [24.2.2009 19:46 25184]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"e:\windows\system32\rundll32.exe" "e:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Obsah adresáře 'Naplánované úlohy'

2009-07-13 e:\windows\Tasks\Scheduled scanning task.job
- e:\progra~1\F-Secure\ANTI-V~1\fsav.exe [2009-02-24 13:57]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

Notify-AtiExtEvent - (no file)


.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/" onclick="window.open(this.href);return false;
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q=" onclick="window.open(this.href);return false;{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=" onclick="window.open(this.href);return false;%s
IE: E&xportovat do aplikace Microsoft Office Excel - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: e:\program files\F-Secure\FSPS\program\FSLSP.DLL
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net" onclick="window.open(this.href);return false;
Rootkit scan 2009-07-13 21:23
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1757981266-838170752-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,98,2e,cc,54,bd,
4c,54,d8,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,e8,71,ac,6f,74,
94,5c,7f,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,00,cb,0d,7a,af,
2e,fe,0f,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,b2,a5,81,78,81,
de,a8,94,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,80,43,f0,12,64,
b7,07,ca,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,32,3d,07,c1,fd,
35,40,d2,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,cd,d8,1f,ed,04,
df,6d,18,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,94,ea,a3,dd,86,
09,32,7f,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,9c,aa,db,6c,58,
14,3b,fa,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,67,ce,a2,55,2a,
a0,e2,a9,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,ff,04,69,14,41,
5d,41,7c,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="e:\\WINDOWS\\System32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,f3,18,c2,4a,68,
3a,1a,ae,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(664)
e:\program files\F-Secure\FSPS\program\FSLSP.DLL

- - - - - - - > 'explorer.exe'(628)
e:\windows\system32\webcheck.dll
e:\windows\system32\WPDShServiceObj.dll
e:\windows\system32\PortableDeviceTypes.dll
e:\windows\system32\PortableDeviceApi.dll
e:\program files\F-Secure\FSPS\program\FSLSP.DLL
e:\program files\f-secure\scanner-interface\fsgkiapi.dll
.
Celkový čas: 2009-07-13 21:25
ComboFix-quarantined-files.txt 2009-07-13 19:25

Před spuštěním: Volných bajtů: 126 480 035 840
Po spuštění: Volných bajtů: 126 529 843 200

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
e:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

215 --- E O F --- 2009-06-10 19:06
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Příspěvky: 43411
Registrován: 16 čer 2007 18:58
Bydliště: Jižní Čechy

Re: prosím o kontrolu Hijack This

Příspěvek od jaro3 »

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
e:\windows\system32\d3d9caps.dat
e:\windows\nsreg.dat
e:\program files\_r_a_p_.tmp

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000000

RegNull::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Telda.
Level 1
Level 1
Příspěvky: 71
Registrován: 25 říj 2008 22:17

Re: prosím o kontrolu Hijack This

Příspěvek od Telda. »

ComboFix 09-07-13.01 - Jarda 14.07.2009 15:29.2.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.616 [GMT 2:00]
Spuštěný z: e:\documents and settings\Jarda\Plocha\ComboFix.exe
Použité ovládací přepínače :: e:\documents and settings\Jarda\Plocha\CFScript.txt
AV: F-Secure Profi Antivirus 8.01 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: F-Secure Profi Antivirus 8.01 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-06-14 do 2009-07-14 )))))))))))))))))))))))))))))))
.

2009-07-13 06:26 . 2009-07-13 06:26 664 ----a-w- e:\windows\system32\d3d9caps.dat
2009-07-12 09:20 . 2009-07-12 09:20 -------- d-----w- e:\program files\Microsoft Silverlight
2009-07-12 06:41 . 2009-07-12 06:41 574 ----a-w- E:\cleanup.bat
2009-07-12 06:41 . 2009-07-12 06:41 135168 ----a-w- E:\zip.exe
2009-07-05 05:46 . 2009-07-05 05:46 0 ----a-w- e:\windows\nsreg.dat
2009-06-17 15:08 . 2008-08-26 08:26 18816 ----a-w- e:\windows\system32\drivers\pccsmcfd.sys
2009-06-17 15:08 . 2009-06-17 15:08 -------- d-----w- e:\program files\PC Connectivity Solution
2009-06-17 15:07 . 2009-02-09 06:37 7808 ----a-w- e:\windows\system32\drivers\usbser_lowerfltj.sys
2009-06-17 15:07 . 2009-02-09 06:37 7808 ----a-w- e:\windows\system32\drivers\usbser_lowerflt.sys
2009-06-17 15:07 . 2009-02-09 06:37 22016 ----a-w- e:\windows\system32\drivers\ccdcmbo.sys
2009-06-17 15:07 . 2009-02-09 06:37 659968 ----a-w- e:\windows\system32\nmwcdcocls.dll
2009-06-17 15:07 . 2009-02-09 06:37 17664 ----a-w- e:\windows\system32\drivers\ccdcmb.sys
2009-06-17 15:07 . 2009-02-09 06:32 1112288 ----a-w- e:\windows\system32\wdfcoinstaller01007.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 13:18 . 2009-02-24 17:45 -------- d-----w- e:\program files\F-Secure
2009-07-14 02:41 . 2003-04-16 12:00 967640 ----a-w- e:\windows\system32\perfh005.dat
2009-07-14 02:41 . 2003-04-16 12:00 346116 ----a-w- e:\windows\system32\perfc005.dat
2009-07-14 02:37 . 2008-10-25 19:38 -------- d-----w- e:\program files\Malwarebytes' Anti-Malware
2009-07-13 11:36 . 2008-10-25 19:38 38160 ----a-w- e:\windows\system32\drivers\mbamswissarmy.sys
2009-07-13 11:36 . 2008-10-25 19:38 19096 ----a-w- e:\windows\system32\drivers\mbam.sys
2009-07-11 13:06 . 2002-06-15 14:57 -------- d-----w- e:\program files\ATI Technologies
2009-07-11 12:54 . 2002-06-14 20:03 -------- d--h--w- e:\program files\InstallShield Installation Information
2009-07-11 12:52 . 2007-05-23 17:42 -------- d-----w- e:\program files\Ubi Soft
2009-07-10 16:06 . 2009-05-29 18:39 -------- d-----w- e:\program files\Common Files\PCSuite
2009-07-10 16:06 . 2009-05-29 18:41 -------- d-----w- e:\program files\Common Files\Nokia
2009-07-10 16:06 . 2009-05-29 18:38 -------- d-----w- e:\program files\Nokia
2009-07-08 14:02 . 2009-02-24 17:47 33920 ----a-w- e:\windows\system32\drivers\fsbts.sys
2009-06-17 15:08 . 2009-05-29 18:39 -------- d-----w- e:\program files\DIFX
2009-05-31 08:22 . 2009-05-31 08:22 0 ---ha-w- e:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-05-31 08:22 . 2009-05-31 08:22 0 ---ha-w- e:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-05-29 22:24 . 2009-05-29 22:24 0 ---ha-w- e:\windows\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2009-05-29 22:24 . 2009-05-29 22:24 0 ---ha-w- e:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-05-29 21:05 . 2009-05-29 21:05 -------- d-----w- e:\program files\Common Files\MainConcept
2009-05-29 18:48 . 2009-05-29 18:48 -------- d-----w- e:\program files\MSXML 6.0
2009-05-29 18:47 . 2009-05-29 18:46 -------- d-----w- e:\program files\SimpleCenter
2009-05-29 18:47 . 2009-05-29 18:47 -------- d-----w- e:\program files\Common Files\i4j_jres
2009-05-29 18:44 . 2009-05-29 18:43 -------- d-----w- e:\program files\Common Files\muvee Technologies
2009-05-13 05:05 . 2006-06-23 12:27 915456 ----a-w- e:\windows\system32\wininet.dll
2009-05-07 19:36 . 2009-05-07 19:36 128 ----a-w- e:\windows\system32\perf.dat
2009-05-07 15:33 . 2003-04-16 12:00 346624 ----a-w- e:\windows\system32\localspl.dll
2009-04-19 19:52 . 2003-04-16 12:00 1847168 ----a-w- e:\windows\system32\win32k.sys
2009-04-15 14:54 . 2004-03-06 02:20 585216 ----a-w- e:\windows\system32\rpcrt4.dll
2002-06-15 21:27 . 2002-06-15 21:27 0 ----a-w- e:\program files\_r_a_p_.tmp
.

((((((((((((((((((((((((((((( SnapShot@2009-07-13_19.23.24 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-14 13:14 . 2009-07-14 13:14 16384 e:\windows\Temp\Perflib_Perfdata_7b8.dat
+ 2003-04-16 12:00 . 2009-07-14 02:41 861136 e:\windows\system32\perfh009.dat
+ 2003-04-16 12:00 . 2009-07-14 02:41 299190 e:\windows\system32\perfc009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="e:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]
"ctfmon.exe"="e:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sclauncher"="e:\program files\SimpleCenter\bin\win\sclauncher.exe" [2007-10-11 94208]
"QuickTime Task"="e:\programy\QuickTime\qttask.exe" [2002-06-15 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programy\\Macromedia studio MX\\Dreamweaver MX\\Dreamweaver.exe"=
"e:\\Programy\\Macromedia studio MX\\Fireworks MX\\Fireworks.exe"=
"e:\\Programy\\Macromedia studio MX\\Flash MX\\Flash.exe"=
"e:\\Programy\\Macromedia studio MX\\FreeHand 10\\FreeHand 10.exe"=
"e:\\Programy\\Pinnacle\\programs\\RM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Program Files\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"=
"e:\\Programy\\Pinnacle\\programs\\Studio.exe"=
"e:\\HRY\\mohaa\\MOHAA.exe"=
"e:\\HRY\\Farcry\\Bin32\\FarCry.exe"=
"e:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 fsbts;fsbts;e:\windows\system32\drivers\fsbts.sys [24.2.2009 19:47 33920]
R0 FSFW;F-Secure Firewall Driver;e:\windows\system32\drivers\fsdfw.sys [24.2.2009 19:47 79872]
R1 F-Secure HIPS;F-Secure HIPS Driver;e:\program files\F-Secure\HIPS\drivers\fshs.sys [24.2.2009 19:46 67808]
R2 FSORSPClient;F-Secure ORSP Client;e:\program files\F-Secure\ORSP Client\fsorsp.exe [24.2.2009 19:46 55904]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;e:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [24.2.2009 19:46 99960]
R3 V0330VID;WebCam Vista/Live! Cam Chat;e:\windows\system32\drivers\V0330Vid.sys [24.1.2009 13:32 157696]
S3 magpsc;magpsc;e:\windows\system32\drivers\magpsc.sys [17.4.2009 15:55 53463]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);e:\windows\system32\drivers\s115bus.sys [1.10.2008 18:21 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;e:\windows\system32\drivers\s115mdfl.sys [1.10.2008 18:22 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;e:\windows\system32\drivers\s115mdm.sys [1.10.2008 18:22 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);e:\windows\system32\drivers\s115mgmt.sys [1.10.2008 18:22 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;e:\windows\system32\drivers\s115obex.sys [1.10.2008 18:22 98568]
S3 TVICHW32;TVICHW32;e:\windows\system32\drivers\TVICHW32.SYS [9.1.2009 20:09 23600]
S4 F-Secure Filter;F-Secure File System Filter;e:\program files\F-Secure\Anti-Virus\win2k\fsfilter.sys [24.2.2009 19:46 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;e:\program files\F-Secure\Anti-Virus\win2k\fsrec.sys [24.2.2009 19:46 25184]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"e:\windows\system32\rundll32.exe" "e:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Obsah adresáře 'Naplánované úlohy'

2009-07-14 e:\windows\Tasks\Scheduled scanning task.job
- e:\progra~1\F-Secure\ANTI-V~1\fsav.exe [2009-02-24 13:57]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/" onclick="window.open(this.href);return false;
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q=" onclick="window.open(this.href);return false;{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=" onclick="window.open(this.href);return false;%s
IE: E&xportovat do aplikace Microsoft Office Excel - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: e:\program files\F-Secure\FSPS\program\FSLSP.DLL
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net" onclick="window.open(this.href);return false;
Rootkit scan 2009-07-14 15:35
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1757981266-838170752-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(820)
e:\program files\F-Secure\FSPS\program\FSLSP.DLL

- - - - - - - > 'explorer.exe'(476)
e:\windows\system32\webcheck.dll
e:\windows\system32\WPDShServiceObj.dll
e:\windows\system32\PortableDeviceTypes.dll
e:\windows\system32\PortableDeviceApi.dll
e:\program files\F-Secure\FSPS\program\FSLSP.DLL
e:\program files\f-secure\scanner-interface\fsgkiapi.dll
.
Celkový čas: 2009-07-14 15:37
ComboFix-quarantined-files.txt 2009-07-14 13:36
ComboFix2.txt 2009-07-13 19:25

Před spuštěním: Volných bajtů: 126 499 397 632
Po spuštění: Volných bajtů: 126 457 696 256

152 --- E O F --- 2009-06-10 19:06


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:43:13, on 14.7.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\ATKKBService.exe
E:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
E:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
E:\Program Files\F-Secure\Common\FSMA32.EXE
E:\Program Files\F-Secure\Common\FSMB32.EXE
E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
E:\Program Files\F-Secure\Common\FCH32.EXE
E:\WINDOWS\System32\svchost.exe
E:\Program Files\F-Secure\Common\FAMEH32.EXE
E:\Program Files\F-Secure\Anti-Virus\fsqh.exe
e:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
E:\Program Files\F-Secure\FSAUA\program\fsaua.exe
E:\Program Files\F-Secure\Anti-Virus\fssm32.exe
E:\Program Files\F-Secure\FSAUA\program\fsus.exe
E:\Program Files\SimpleCenter\bin\win\sclauncher.exe
E:\Programy\QuickTime\qttask.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
E:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
E:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
E:\Program Files\F-Secure\Anti-Virus\fsav32.exe
E:\WINDOWS\explorer.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O4 - HKLM\..\Run: [sclauncher] E:\Program Files\SimpleCenter\bin\win\sclauncher.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programy\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://E" onclick="window.open(this.href);return false;:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 6262874953" onclick="window.open(this.href);return false;
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - E:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - E:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - E:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - E:\Program Files\F-Secure\ORSP Client\fsorsp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - e:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: ServiceLayer - Nokia. - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5770 bytes
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Příspěvky: 43411
Registrován: 16 čer 2007 18:58
Bydliště: Jižní Čechy

Re: prosím o kontrolu Hijack This

Příspěvek od jaro3 »

Ten script se celý neaplikoval, zkus ho znovu a nezapomeň deaktivovat i firewall (máš tam FW: F-Secure Profi Antivirus 8.01 *enabled*)

Script:

Kód: Vybrat vše

KillAll::
File::
e:\windows\system32\d3d9caps.dat
e:\windows\nsreg.dat
e:\program files\_r_a_p_.tmp
Postup stejný , zase log z CF a HJT.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Telda.
Level 1
Level 1
Příspěvky: 71
Registrován: 25 říj 2008 22:17

Re: prosím o kontrolu Hijack This

Příspěvek od Telda. »

ComboFix 09-07-13.01 - Jarda 14.07.2009 18:09.3.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.557 [GMT 2:00]
Spuštěný z: e:\documents and settings\Jarda\Plocha\ComboFix.exe
Použité ovládací přepínače :: e:\documents and settings\Jarda\Plocha\CFScript.txt
AV: F-Secure Profi Antivirus 8.01 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: F-Secure Profi Antivirus 8.01 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

FILE ::
"e:\program files\_r_a_p_.tmp"
"e:\windows\nsreg.dat"
"e:\windows\system32\d3d9caps.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

e:\program files\_r_a_p_.tmp
e:\windows\nsreg.dat
e:\windows\system32\d3d9caps.dat

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-06-14 do 2009-07-14 )))))))))))))))))))))))))))))))
.

2009-07-12 09:20 . 2009-07-12 09:20 -------- d-----w- e:\program files\Microsoft Silverlight
2009-07-12 06:41 . 2009-07-12 06:41 574 ----a-w- E:\cleanup.bat
2009-07-12 06:41 . 2009-07-12 06:41 135168 ----a-w- E:\zip.exe
2009-06-17 15:08 . 2008-08-26 08:26 18816 ----a-w- e:\windows\system32\drivers\pccsmcfd.sys
2009-06-17 15:08 . 2009-06-17 15:08 -------- d-----w- e:\program files\PC Connectivity Solution
2009-06-17 15:07 . 2009-02-09 06:37 7808 ----a-w- e:\windows\system32\drivers\usbser_lowerfltj.sys
2009-06-17 15:07 . 2009-02-09 06:37 7808 ----a-w- e:\windows\system32\drivers\usbser_lowerflt.sys
2009-06-17 15:07 . 2009-02-09 06:37 22016 ----a-w- e:\windows\system32\drivers\ccdcmbo.sys
2009-06-17 15:07 . 2009-02-09 06:37 659968 ----a-w- e:\windows\system32\nmwcdcocls.dll
2009-06-17 15:07 . 2009-02-09 06:37 17664 ----a-w- e:\windows\system32\drivers\ccdcmb.sys
2009-06-17 15:07 . 2009-02-09 06:32 1112288 ----a-w- e:\windows\system32\wdfcoinstaller01007.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 15:38 . 2009-02-24 17:45 -------- d-----w- e:\program files\F-Secure
2009-07-14 02:41 . 2003-04-16 12:00 967640 ----a-w- e:\windows\system32\perfh005.dat
2009-07-14 02:41 . 2003-04-16 12:00 346116 ----a-w- e:\windows\system32\perfc005.dat
2009-07-14 02:37 . 2008-10-25 19:38 -------- d-----w- e:\program files\Malwarebytes' Anti-Malware
2009-07-13 11:36 . 2008-10-25 19:38 38160 ----a-w- e:\windows\system32\drivers\mbamswissarmy.sys
2009-07-13 11:36 . 2008-10-25 19:38 19096 ----a-w- e:\windows\system32\drivers\mbam.sys
2009-07-11 13:06 . 2002-06-15 14:57 -------- d-----w- e:\program files\ATI Technologies
2009-07-11 12:54 . 2002-06-14 20:03 -------- d--h--w- e:\program files\InstallShield Installation Information
2009-07-11 12:52 . 2007-05-23 17:42 -------- d-----w- e:\program files\Ubi Soft
2009-07-10 16:06 . 2009-05-29 18:39 -------- d-----w- e:\program files\Common Files\PCSuite
2009-07-10 16:06 . 2009-05-29 18:41 -------- d-----w- e:\program files\Common Files\Nokia
2009-07-10 16:06 . 2009-05-29 18:38 -------- d-----w- e:\program files\Nokia
2009-07-08 14:02 . 2009-02-24 17:47 33920 ----a-w- e:\windows\system32\drivers\fsbts.sys
2009-06-17 15:08 . 2009-05-29 18:39 -------- d-----w- e:\program files\DIFX
2009-05-31 08:22 . 2009-05-31 08:22 0 ---ha-w- e:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-05-31 08:22 . 2009-05-31 08:22 0 ---ha-w- e:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-05-29 22:24 . 2009-05-29 22:24 0 ---ha-w- e:\windows\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2009-05-29 22:24 . 2009-05-29 22:24 0 ---ha-w- e:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-05-29 21:05 . 2009-05-29 21:05 -------- d-----w- e:\program files\Common Files\MainConcept
2009-05-29 18:48 . 2009-05-29 18:48 -------- d-----w- e:\program files\MSXML 6.0
2009-05-29 18:47 . 2009-05-29 18:46 -------- d-----w- e:\program files\SimpleCenter
2009-05-29 18:47 . 2009-05-29 18:47 -------- d-----w- e:\program files\Common Files\i4j_jres
2009-05-29 18:44 . 2009-05-29 18:43 -------- d-----w- e:\program files\Common Files\muvee Technologies
2009-05-13 05:05 . 2006-06-23 12:27 915456 ----a-w- e:\windows\system32\wininet.dll
2009-05-07 19:36 . 2009-05-07 19:36 128 ----a-w- e:\windows\system32\perf.dat
2009-05-07 15:33 . 2003-04-16 12:00 346624 ----a-w- e:\windows\system32\localspl.dll
2009-04-19 19:52 . 2003-04-16 12:00 1847168 ----a-w- e:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-07-13_19.23.24 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-14 16:15 . 2009-07-14 16:15 16384 e:\windows\temp\Perflib_Perfdata_79c.dat
+ 2003-04-16 12:00 . 2009-07-14 02:41 861136 e:\windows\system32\perfh009.dat
+ 2003-04-16 12:00 . 2009-07-14 02:41 299190 e:\windows\system32\perfc009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="e:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]
"ctfmon.exe"="e:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sclauncher"="e:\program files\SimpleCenter\bin\win\sclauncher.exe" [2007-10-11 94208]
"QuickTime Task"="e:\programy\QuickTime\qttask.exe" [2002-06-15 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programy\\Macromedia studio MX\\Dreamweaver MX\\Dreamweaver.exe"=
"e:\\Programy\\Macromedia studio MX\\Fireworks MX\\Fireworks.exe"=
"e:\\Programy\\Macromedia studio MX\\Flash MX\\Flash.exe"=
"e:\\Programy\\Macromedia studio MX\\FreeHand 10\\FreeHand 10.exe"=
"e:\\Programy\\Pinnacle\\programs\\RM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Program Files\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"=
"e:\\Programy\\Pinnacle\\programs\\Studio.exe"=
"e:\\HRY\\mohaa\\MOHAA.exe"=
"e:\\HRY\\Farcry\\Bin32\\FarCry.exe"=
"e:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 fsbts;fsbts;e:\windows\system32\drivers\fsbts.sys [24.2.2009 19:47 33920]
R0 FSFW;F-Secure Firewall Driver;e:\windows\system32\drivers\fsdfw.sys [24.2.2009 19:47 79872]
R1 F-Secure HIPS;F-Secure HIPS Driver;e:\program files\F-Secure\HIPS\drivers\fshs.sys [24.2.2009 19:46 67808]
R2 FSORSPClient;F-Secure ORSP Client;e:\program files\F-Secure\ORSP Client\fsorsp.exe [24.2.2009 19:46 55904]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;e:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [24.2.2009 19:46 99960]
R3 V0330VID;WebCam Vista/Live! Cam Chat;e:\windows\system32\drivers\V0330Vid.sys [24.1.2009 13:32 157696]
S3 magpsc;magpsc;e:\windows\system32\drivers\magpsc.sys [17.4.2009 15:55 53463]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);e:\windows\system32\drivers\s115bus.sys [1.10.2008 18:21 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;e:\windows\system32\drivers\s115mdfl.sys [1.10.2008 18:22 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;e:\windows\system32\drivers\s115mdm.sys [1.10.2008 18:22 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);e:\windows\system32\drivers\s115mgmt.sys [1.10.2008 18:22 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;e:\windows\system32\drivers\s115obex.sys [1.10.2008 18:22 98568]
S3 TVICHW32;TVICHW32;e:\windows\system32\drivers\TVICHW32.SYS [9.1.2009 20:09 23600]
S4 F-Secure Filter;F-Secure File System Filter;e:\program files\F-Secure\Anti-Virus\win2k\fsfilter.sys [24.2.2009 19:46 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;e:\program files\F-Secure\Anti-Virus\win2k\fsrec.sys [24.2.2009 19:46 25184]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"e:\windows\system32\rundll32.exe" "e:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Obsah adresáře 'Naplánované úlohy'

2009-07-14 e:\windows\Tasks\Scheduled scanning task.job
- e:\progra~1\F-Secure\ANTI-V~1\fsav.exe [2009-02-24 13:57]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/" onclick="window.open(this.href);return false;
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q=" onclick="window.open(this.href);return false;{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=" onclick="window.open(this.href);return false;%s
IE: E&xportovat do aplikace Microsoft Office Excel - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: e:\program files\F-Secure\FSPS\program\FSLSP.DLL
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net" onclick="window.open(this.href);return false;
Rootkit scan 2009-07-14 18:16
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1757981266-838170752-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(824)
e:\program files\F-Secure\FSPS\program\FSLSP.DLL

- - - - - - - > 'explorer.exe'(2592)
e:\windows\system32\webcheck.dll
e:\windows\system32\WPDShServiceObj.dll
e:\program files\F-Secure\FSPS\program\FSLSP.DLL
e:\program files\f-secure\scanner-interface\fsgkiapi.dll
e:\programy\CorelDRAW 8\programs\CMFFld80.dll
e:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
e:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
e:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_cze.nlr
e:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
e:\windows\system32\PortableDeviceTypes.dll
e:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
e:\windows\ATKKBService.exe
e:\program files\F-Secure\Anti-Virus\fsgk32st.exe
e:\program files\F-Secure\Anti-Virus\fsgk32.exe
e:\program files\F-Secure\FWES\program\fsdfwd.exe
e:\program files\F-Secure\Common\FSMA32.EXE
e:\program files\F-Secure\Common\FSMB32.EXE
e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
e:\program files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
e:\program files\F-Secure\Common\FCH32.EXE
e:\program files\F-Secure\Anti-Virus\fsqh.exe
e:\program files\F-Secure\Common\FAMEH32.EXE
e:\program files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
e:\program files\F-Secure\FSAUA\program\fsaua.exe
e:\program files\F-Secure\Anti-Virus\fssm32.exe
e:\windows\system32\wscntfy.exe
e:\program files\PC Connectivity Solution\ServiceLayer.exe
e:\program files\F-Secure\FSAUA\program\fsus.exe
e:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
e:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
e:\program files\F-Secure\Anti-Virus\fsav32.exe
.
**************************************************************************
.
Celkový čas: 2009-07-14 18:19 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-07-14 16:19
ComboFix2.txt 2009-07-13 19:25

Před spuštěním: Volných bajtů: 126 411 517 952
Po spuštění: Volných bajtů: 126 387 433 472

188 --- E O F --- 2009-06-10 19:06



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:20, on 14.7.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\ATKKBService.exe
E:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
E:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
E:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
E:\Program Files\F-Secure\Common\FSMA32.EXE
E:\Program Files\F-Secure\Common\FSMB32.EXE
E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
E:\Program Files\F-Secure\Common\FCH32.EXE
E:\WINDOWS\System32\svchost.exe
E:\Program Files\F-Secure\Anti-Virus\fsqh.exe
E:\Program Files\F-Secure\Common\FAMEH32.EXE
e:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
E:\Program Files\SimpleCenter\bin\win\sclauncher.exe
E:\Programy\QuickTime\qttask.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\F-Secure\FSAUA\program\fsaua.exe
E:\Program Files\F-Secure\Anti-Virus\fssm32.exe
E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
E:\Program Files\F-Secure\FSAUA\program\fsus.exe
E:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
E:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
E:\Program Files\F-Secure\Anti-Virus\fsav32.exe
E:\WINDOWS\explorer.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O4 - HKLM\..\Run: [sclauncher] E:\Program Files\SimpleCenter\bin\win\sclauncher.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programy\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://E" onclick="window.open(this.href);return false;:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 6262874953" onclick="window.open(this.href);return false;
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - E:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - E:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - E:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - E:\Program Files\F-Secure\ORSP Client\fsorsp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - e:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: ServiceLayer - Nokia. - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5765 bytes
Nahoru
Zamčeno

Zpět na „HiJackThis“