Trojský kůň a Backdoor.Win32.Cetorp.p .. prosím o pomoc Vyřešeno

[jumbovrte]

http://www.virustotal.com/cs/analisis/e ... 1273149454
http://www.virustotal.com/cs/analisis/f ... 1273150103
http://www.virustotal.com/cs/analisis/3 ... 1273149698
http://www.virustotal.com/cs/analisis/9 ... 1273150162
http://www.virustotal.com/cs/analisis/f ... 1273150186
http://www.virustotal.com/cs/analisis/d ... 1273150194

[Reklama]

[jumbovrte]

Vypadá to, že spamy přes mailovku už přestaly chodit, po posledním ComboFixu už mi do outlooku nic nepřišlo, ale také mi tam nechodí žádná jiná pošta... je tedy možné, že je schránka totálně kaputt????

[jumbovrte]

Ne, tak spamy chodí jen když nechám zapnutou úplnou ochranu od AVG... vážně už tomu nerozumím... pošta občas funguje (testuji mezi pracovní a soukromou adresou) a občas ne... v komunikaci s kolegy v Německu je mrtvo....

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

RegNull::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3C314B03-F43E-BA89-952BA1DFD2D5EFE8}\{7539A87C-0FED-33C5-609B84E8BF01550C}\{B9902A55-37BA-35DE-AA3E0A7380F9249D}*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{93E6CEFD-CA56-59D1-C6A1E22689695F47}\{E62B984B-3624-15D7-6BC3102B23FA8A76}\{D0F98AA7-EDD9-94A9-9F817DE029F1BE16}*]

FixCSet::

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu .

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C47A1F7-7663-4672-97D1-438565985070}: NameServer = 192.168.1.2,62.240.184.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C47A1F7-7663-4672-97D1-438565985070}: NameServer = 192.168.1.2,62.240.184.2
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)

Pak nový log z HJT.

Bude nejspíše třeba přeinstalovat AVG.

+
Vypni si rez.ochrany i firewall.
Stáhni si Dr. Web CureIt
dej update , po aktualizaci dej start.
Tlacitky dole muzeš soubor léčit(systémové soubory), smazat, přesunout nebo přejmenovat

[jumbovrte]

ComboFix 10-05-05.07 - v2 06.05.2010 15:56:46.6.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2022.1400 [GMT 2:00]
Spuštěný z: c:\documents and settings\v2\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\v2\Plocha\CFScript.txt
AV: AVG Anti-Virus *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-04-06 do 2010-05-06 )))))))))))))))))))))))))))))))
.

2010-05-06 08:58 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-06 08:57 . 2010-05-06 08:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-06 08:57 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-06 06:02 . 2010-05-06 06:02 -------- d-----w- c:\program files\Trend Micro
2010-05-06 05:35 . 2010-05-06 05:35 -------- d-----w- c:\program files\Enigma Software Group
2010-05-06 04:33 . 2008-04-14 03:22 116224 -c--a-w- c:\windows\system32\dllcache\xrxwiadr.dll
2010-05-06 04:33 . 2001-10-24 10:25 23040 -c--a-w- c:\windows\system32\dllcache\xrxwbtmp.dll
2010-05-06 04:33 . 2008-04-14 03:22 18944 -c--a-w- c:\windows\system32\dllcache\xrxscnui.dll
2010-05-06 04:31 . 2001-08-17 19:28 701386 -c--a-w- c:\windows\system32\dllcache\wdhaalba.sys
2010-05-06 04:30 . 2001-08-17 19:28 113762 -c--a-w- c:\windows\system32\dllcache\usrpda.sys
2010-05-06 04:29 . 2001-08-17 19:52 36736 -c--a-w- c:\windows\system32\dllcache\ultra.sys
2010-05-06 04:28 . 2001-08-17 18:51 138528 -c--a-w- c:\windows\system32\dllcache\tgiulnt5.sys
2010-05-06 04:27 . 2001-10-24 10:25 41472 -c--a-w- c:\windows\system32\dllcache\sw_effct.dll
2010-05-06 04:26 . 2001-08-17 18:51 58368 -c--a-w- c:\windows\system32\dllcache\smiminib.sys
2010-05-06 04:25 . 2001-10-24 10:24 150144 -c--a-w- c:\windows\system32\dllcache\sis6306v.dll
2010-05-06 04:24 . 2008-04-13 18:40 43904 -c--a-w- c:\windows\system32\dllcache\sbp2port.sys
2010-05-06 04:23 . 2001-08-17 18:19 3840 -c--a-w- c:\windows\system32\dllcache\rpfun.sys
2010-05-06 04:22 . 2001-10-24 10:25 5632 -c--a-w- c:\windows\system32\dllcache\ptpusb.dll
2010-05-06 04:21 . 2001-08-17 18:11 30282 -c--a-w- c:\windows\system32\dllcache\pcntn5hl.sys
2010-05-06 04:20 . 2001-08-17 18:50 198144 -c--a-w- c:\windows\system32\dllcache\nv3.sys
2010-05-06 04:19 . 2001-10-24 10:01 129024 -c--a-w- c:\windows\system32\dllcache\n100325.sys
2010-05-06 04:18 . 2008-04-13 18:46 15232 -c--a-w- c:\windows\system32\dllcache\mpe.sys
2010-05-06 04:17 . 2001-08-17 18:12 70730 -c--a-w- c:\windows\system32\dllcache\lne100tx.sys
2010-05-06 04:16 . 2008-04-14 03:21 27648 -c--a-w- c:\windows\system32\dllcache\irmon.dll
2010-05-06 04:15 . 2001-08-17 20:06 38528 -c--a-w- c:\windows\system32\dllcache\ibmvcap.sys
2010-05-06 04:14 . 2001-08-17 19:28 150239 -c--a-w- c:\windows\system32\dllcache\hsf_amos.sys
2010-05-06 04:13 . 2001-10-24 09:56 320384 -c--a-w- c:\windows\system32\dllcache\g200m.sys
2010-05-06 04:12 . 2001-10-24 09:53 347550 -c--a-w- c:\windows\system32\dllcache\es56tpi.sys
2010-05-06 04:11 . 2001-08-17 18:12 28062 -c--a-w- c:\windows\system32\dllcache\dp83820.sys
2010-05-06 04:10 . 2001-10-24 10:24 28672 -c--a-w- c:\windows\system32\dllcache\cyycoins.dll
2010-05-06 04:09 . 2001-10-24 10:24 236032 -c--a-w- c:\windows\system32\dllcache\camext20.dll
2010-05-06 04:08 . 2001-10-24 10:24 96128 -c--a-w- c:\windows\system32\dllcache\ati.dll
2010-05-05 08:51 . 2010-05-05 08:51 -------- d--h--w- c:\windows\PIF
2010-04-21 11:32 . 2010-04-21 11:32 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 12:24 . 2004-08-18 12:00 567700 ----a-w- c:\windows\system32\perfh005.dat
2010-05-06 12:24 . 2004-08-18 12:00 171104 ----a-w- c:\windows\system32\perfc005.dat
2010-05-06 05:34 . 2008-02-02 09:21 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-04-23 04:57 . 2008-02-02 08:49 -------- d-----w- c:\program files\Winamp
2010-04-20 07:40 . 2008-12-09 06:29 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-10 06:17 . 2004-08-18 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-05 08:47 . 2010-03-05 08:47 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-05 08:47 . 2008-02-02 08:43 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-05 08:47 . 2008-12-09 06:29 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-05 08:47 . 2008-12-09 06:29 52872 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2010-02-25 06:18 . 2004-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-18 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:08 . 2004-08-18 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:08 . 2004-08-17 15:45 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-08 11:16 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:35 . 2004-08-18 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-18 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2006-06-12 20002856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-05 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-05 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-05 94208]
"IntelAudioStudio"="c:\program files\Intel Audio Studio\IntelAudioStudio.exe" [2006-09-21 9138176]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"Print Manager"="c:\program files\Print Server Utilities\PSAgent.exe" [2007-05-15 737280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2003-07-15 34880]

c:\documents and settings\v2\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Tray ikona AVG.lnk - c:\program files\AVG\AVG9\avgtray.exe [2010-4-20 2064736]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
CIT200.lnk - c:\program files\Linksys\CIT200\cit200.exe [2006-6-8 762368]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-05 08:47 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Print Server Utilities\\PSAgent.exe"=
"c:\\Program Files\\Print Server Utilities\\SetupWizard.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Documents and Settings\\v2\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Program Files\\Print Server Utilities\\PSAdmin.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [9.12.2008 8:29 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [9.12.2008 8:29 216200]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [9.12.2008 8:29 242896]
R2 ALIWEHCD;Print Server Enhanced Controller;c:\windows\system32\drivers\mfpec.sys [17.4.2009 8:05 34944]
R2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [5.3.2010 10:47 916760]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [5.3.2010 10:47 308064]
R2 n5lpt.sys;N5 Print Device;c:\windows\system32\drivers\n5lpt.sys [27.2.2008 8:21 21132]
R2 Stld;Stld;c:\windows\system32\drivers\STLD.SYS [27.2.2008 8:21 10240]
R3 WUSBVBus;Print Server Detector;c:\windows\system32\drivers\mfpvbus.sys [17.4.2009 8:05 10240]
S2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3.11.2006 19:19 13592]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: {1C47A1F7-7663-4672-97D1-438565985070} = 192.168.1.2,62.240.184.2
FF - ProfilePath - c:\documents and settings\v2\Data aplikací\Mozilla\Firefox\Profiles\0p4mft5z.default\
FF - prefs.js: browser.startup.homepage - seznam.cz

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-06 16:01
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(440)
c:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\AVG\AVG9\avgam.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\ServoApp.exe
.
**************************************************************************
.
Celkový čas: 2010-05-06 16:04:38 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-05-06 14:04
ComboFix2.txt 2010-05-06 10:17

Před spuštěním: Volných bajtů: 52 717 121 536
Po spuštění: Volných bajtů: 52 689 707 008

- - End Of File - - B5C05656CA74CDCB6D4360A74BA7BD3A

[jaro3]

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

vyčisti systém CCleanerem

a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš

pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG či Avast, následně T-Cleaner smaž a zapni si AVG či Avast.


Pak dej nový log z HJT.

+
Spusť F-Secure Online Scanner

Tento skener je možno použít jen v prohlížeči Internet Explorer (není již podmínkou)! Postupuj podle instrukcí na stránce F-Secure pro správnou instalaci. Akceptuj licenci. Po instalaci ActiveX, klikni na Full System Scan. Když stahování skončeno, automaticky začne sken . Vyčkej konce skenu, po jeho dobu neprováděj jiné operace ani neklikej myší. Když skončí sken klikni na tlačítko Automatic clearing (recommended). Poté klikni na tlačítko Show Report a zkopíruj a vlož sem .

[jumbovrte]

Ahoj Jaro3, budu pokračovat v čištění až zítra, v půl páté už jsem vážně musel za rodinou. Zatím Ti moc děkuji za pomoc s odstraňováním té havěti.. Jo, po kontrole HiJackThis a smazání hodnot co jsi mi poslal (při odpojeném internetu), jsem se po připojení kabelu zpět do lanky už nedostal na internet (Skype se ale přihlásil)... uvidím zítra ráno co a jak..

[jaro3]

OK , budeš asi muset znovu nastavit připojení.

Pokud je Tvůj poskytovatel připojení:
NameServer = 192.168.1.2,62.240.184.2

Spusť HJT.
Klikni na View the list of backups.
V okně dek zatržítka na :

Kód: Vybrat vše

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C47A1F7-7663-4672-97D1-438565985070}: NameServer = 192.168.1.2,62.240.184.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C47A1F7-7663-4672-97D1-438565985070}: NameServer = 192.168.1.2,62.240.184.2


A pak klikni vpravo na Restore.

[jumbovrte]

Výpis z HJT po T-Cleaneru, CCleaneru a přeinstalaci AVG (které se stále připojuje na servery a odesílá poštu), AVG zahlásilo infekci BackDoor ...

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:28:08, on 7.5.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Print Server Utilities\PSAgent.exe
C:\WINDOWS\system32\ServoApp.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Linksys\CIT200\cit200.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\Microsoft Hardware\Mouse\POINT32.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Print Manager] "C:\Program Files\Print Server Utilities\PSAgent.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Tray ikona AVG.lnk = C:\Program Files\AVG\AVG9\avgtray.exe
O4 - Global Startup: CIT200.lnk = C:\Program Files\Linksys\CIT200\cit200.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso ... 1944494796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 1944478078
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C47A1F7-7663-4672-97D1-438565985070}: NameServer = 192.168.1.2,62.240.184.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C47A1F7-7663-4672-97D1-438565985070}: NameServer = 192.168.1.2,62.240.184.2
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

--
End of file - 5490 bytes

[jumbovrte]

F-Secure Online Scanner:

Hlášení kontroly
Pátek, Květen 7, 2010 07:35:42 - 08:10:17

Název počítače: V2
Typ kontroly: Kontrolovat systém na přítomnost malwaru, spywaru a programů rootkit
Cíl: C:\
Nebyl nalezen žádný malware.
Statistika
Kontrolováno:

* Soubory: 35804
* Systém: 2914
* Nekontrolováno: 10

Akce:

* Vyléčeno: 0
* Přejmenováno: 0
* Odstraněno: 0
* Nevyčištěno: 0
* Odesláno: 0

Nekontrolované soubory:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\DOCUMENTS AND SETTINGS\V2\LOCAL SETTINGS\TEMP\HSPERFDATA_V2\644
* C:\DOCUMENTS AND SETTINGS\V2\LOCAL SETTINGS\TEMP\HSPERFDATA_V2\4072
* C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKACÍ\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\16E3A296370B78A13B2BB43FF88D5A50_FF61179A-A5B2-4A39-BBB3-D9FC315D4239
* C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKACÍ\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\77DE3C70E0DBB0B03BAE3C50D858F62B_FF61179A-A5B2-4A39-BBB3-D9FC315D4239

Možnosti
Moduly kontroly:

Možnosti kontroly:

* Kontrolovat určené soubory: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Používat pokročilou heuristiku

Copyright © 1998–2009 Podpora produktu | Odeslat vzorek viru společnosti F-Secure
Společnost F-Secure nepřejímá jakoukoli odpovědnost za materiály vytvořené nebo publikované třetími stranami, na které odkazují webové stránky společnosti F-Secure. Pokud odešlete na kterýkoli z našich serverů jakýkoli materiál (například pomocí e-mailu nebo prostřednictvím e-mailu F-Secure CGI), souhlasíte, že všechny vámi zpřístupněné materiály mohou být publikovány na webových stránkách společnosti F-Secure nebo tiskově publikovány, s výjimkou případu, kdy jednoznačně oznámíte svůj nesouhlas. Veřejné webové stránky společnosti F-Secure navštívíte klepnutím na následující odkazy. Současně bude váš přístup zaznamenán do našich osobních statistik přístupu pro název vaší domény. Tato informace nebude předávána třetím stranám. Tímto vyjadřujete svůj souhlas s tím, že ohledně odesílaných materiálů nepodniknete vůči nám jakékoli právní kroky. Odesláním materiálu opravňujete společnost F-Secure k tomu, že může začlenit jakékoli koncepty popsané v těchto materiálech bez dalších závazků, pokud výslovně neuvedete jinak.

[jaro3]

Co je v těchto složkách:
C:\DOCUMENTS AND SETTINGS\V2\LOCAL SETTINGS\TEMP\HSPERFDATA_V2\644
* C:\DOCUMENTS AND SETTINGS\V2\LOCAL SETTINGS\TEMP\HSPERFDATA_V2\4072

* C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKACÍ\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\16E3A296370B78A13B2BB43FF88D5A50_FF61179A-A5B2-4A39-BBB3-D9FC315D4239
* C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKACÍ\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\77DE3C70E0DBB0B03BAE3C50D858F62B_FF61179A-A5B2-4A39-BBB3-D9FC315D4239
zabýváš se šifrováním?

Stáhni si OTL
na plochu. Ujisti se , že máš zavřena všechna ostatní okna a poklepej na ikonu OTL.Nahoře v okně pod Výstup klikni na minimální výstup.Pod Běžné registry změň na Vše. Zatrhni Kontrola na havěť “LOP“ a Kontrola na havěť “ Purity“ . Klikni na Prohledat. Všechny ostatní nastavení ponech jak jsou. Sken může trvat dlouho, až skončí otevřou se dva logy:
OTL.Txt
Extras.Txt
Jsou uloženy ve stejném místě jako OTL. Oba logy sem prosím zkopíruj.

[jumbovrte]

Šifrováním dat se opravdu tady nezabývám, na obrázku je vidět co je v těch složkách + druhý obrázek ukazuje, jak stále AVG odesílá emaily. Při zapnutém AVG mi v Outlooku stále chodí nedoručená zpráva (dnes ca. 4000 !!! ), když je AVG vypnuté, nic se neděje, ale ani normální zprávy nechodí ... kurvadrát

email3.JPG (9.36 KiB) Zobrazeno 442 x