Prosím o pomoc (nejde udělat log HiJack)

[kotsi]

Nejde me udelat log kdyz spustim Hijack tak me hned spadne to same se deje z programem Mwav.
Jeste jsem zjistil podezrely program ve spravci uloh 3702982127.284837923.exe nejde ukoncit ani KIllboxem.Pocitac se chova zvlastne
vyskakuje hlaska "V zajmu ochrany pocitace brana firewall zablokovala nektere funkce tohoto programu"
Prosim o radu dik.

[Reklama]

[memphisto]

Vítej na fóru PC-HELP.CZ

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Update Malwarebytes' Anti-Malware (Aktualizace Malwarebytes' Anti-Malware) a Launch Malwarebytes' Anti-Malware (Spustit aplikaci Malwarebytes' Anti-Malware), pokud jo tak klikni na tlačítko Finish
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Perform Quick Scan (Provést rychlý sken) a klikni na tlačítko Scan (Skenovat)
- po probìhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- pak zvol možnost Save Logfile a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[kotsi]

kdyz jsem ho nainstaloval a spustil tak me spadnul a podruhe kdyz ho chci spustit tak me to napise"System Windows nema pristup k urcenenu zarizeni k pristupu k slozce pravdepodobne nemate patricna opravneni"

[memphisto]

Udělej to v nouzovém režimu

[kotsi]

V nouzaku to same

[memphisto]

Tak v nouzáku udělej tohle:
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštìní se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynù, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by mìl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[kotsi]

Po spusteni Comba to chtelo nainstalovat Konzolu pro zotaveni dal jsem NE potom to detekovalo pritomnost aktivity rootkitu a vyzadovalo restart pak log

ComboFix 11-09-30.03 - Pepa 02.10.2011 10:44:10.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.767.556 [GMT 2:00]
Spuštěný z: c:\docume~1\Pepa\LOCALS~1\Temp\Rar$DI00.462\turbina.com
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\xmlUpdater.exe
c:\documents and settings\Default User\xmlUpdater.exe
c:\documents and settings\Pepa\WINDOWS
c:\documents and settings\Pepa\xmlUpdater.exe
c:\program files\Lion Skin DB Toolbar\tbHElper.dll
c:\windows\$NtUninstallKB42790$
c:\windows\$NtUninstallKB42790$\1578252092
c:\windows\$NtUninstallKB42790$\4010129372\@
c:\windows\$NtUninstallKB42790$\4010129372\click.tlb
c:\windows\$NtUninstallKB42790$\4010129372\L\rgzieovo
c:\windows\$NtUninstallKB42790$\4010129372\loader(2).tlb
c:\windows\$NtUninstallKB42790$\4010129372\loader.tlb
c:\windows\$NtUninstallKB42790$\4010129372\U\@00000001
c:\windows\$NtUninstallKB42790$\4010129372\U\@000000c0
c:\windows\$NtUninstallKB42790$\4010129372\U\@000000cb
c:\windows\$NtUninstallKB42790$\4010129372\U\@000000cf
c:\windows\$NtUninstallKB42790$\4010129372\U\@80000000
c:\windows\$NtUninstallKB42790$\4010129372\U\@800000c0
c:\windows\$NtUninstallKB42790$\4010129372\U\@800000cb
c:\windows\$NtUninstallKB42790$\4010129372\U\@800000cf
c:\windows\system32\
c:\windows\system32\config\systemprofile\xmlUpdater.exe
c:\windows\system32\TZLog.log
.
Nakažená kopie c:\windows\system32\drivers\cdrom.sys byla nalezena a vyléčena.
Obnovena kopie z - c:\system volume information\_restore{9D8A0DBE-BEE8-4BB9-8417-274319956D4A}\RP85\A0015202.sys
.
Nakažená kopie c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\system volume information\_restore{9D8A0DBE-BEE8-4BB9-8417-274319956D4A}\RP85\A0015365.exe
.
Nakažená kopie c:\program files\iPod\bin\iPodService.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\system volume information\_restore{9D8A0DBE-BEE8-4BB9-8417-274319956D4A}\RP85\A0015369.exe
.
Nakažená kopie c:\program files\Java\jre6\bin\jqs.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\system volume information\_restore{9D8A0DBE-BEE8-4BB9-8417-274319956D4A}\RP85\A0015366.exe
.
Nakažená kopie c:\windows\system32\nvsvc32.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\system32\ReinstallBackups\0000\DriverFiles\nvsvc32.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_ef05b7dc
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-09-02 do 2011-10-02 )))))))))))))))))))))))))))))))
.
.
2011-10-02 08:29 . 2011-10-02 08:35 -------- d-----w- C:\turbina
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-09 09:12 . 2008-04-14 08:51 602112 ----a-w- c:\windows\system32\crypt32.dll
2011-07-15 13:29 . 2008-04-14 00:47 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\system32\dns-sd.exe
2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\system32\dnssd.dll
2011-07-12 09:20 . 2011-07-12 09:20 50536 ----a-w- c:\windows\system32\jdns_sd.dll
2011-07-12 09:20 . 2011-07-12 09:20 178536 ----a-w- c:\windows\system32\dnssdX.dll
2011-07-08 14:02 . 2008-04-14 00:27 10496 ----a-w- c:\windows\system32\drivers\ndistapi.sys
2011-07-05 16:37 . 2011-07-05 16:37 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2011-07-05 16:37 . 2011-07-05 16:37 69632 ----a-w- c:\windows\system32\QuickTime.qts
2011-09-28 12:37 . 2011-09-20 17:15 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-07-30 08:09 . A825F4181AEC077D8DCA1053DC015265 . 1542656 . . [2001.12.4414.700] . . c:\windows\Lion Skin Pack\Backup\comres.dll
[-] 2008-07-30 08:09 . 7FD161A3A3E881A66A6464D332C62F6C . 1670656 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
.
[-] 2008-07-30 . 12A799AD9415AE9C8ABCC5F75E9CF034 . 557056 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[7] 2010-08-23 . E145ADD7DAEF759C4F5FB80A180A9C30 . 617472 . . [5.82] . . c:\windows\Lion Skin Pack\Backup\comctl32.dll
[-] 2010-08-23 . C16F4AB56B332A57869094DD8825824D . 697344 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2010-08-23 . C16F4AB56B332A57869094DD8825824D . 697344 . . [5.82] . . c:\windows\system32\dllcache\comctl32.dll
[7] 2010-08-23 . 8A72A30FDC803DC06755D3B36D966F31 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
[-] 2008-07-30 . 97BF1C54DAF9FF61E897846DC7329CEF . 647680 . . [5.82] . . c:\windows\$NtUninstallKB2296011$\comctl32.dll
[7] 2008-04-14 . D7B7AE36A2EBA312AC4B53862019B3F5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
[7] 2001-10-25 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
.
[-] 2008-07-30 . CCB32D10C69A89822E9134C0C4894BE1 . 578560 . . [5.1.2600.5512] . . c:\windows\Lion Skin Pack\Backup\user32.dll
[-] 2008-07-30 . CCB32D10C69A89822E9134C0C4894BE1 . 578560 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
.
[-] 2008-07-30 . 8C480B7563206D6DC1B9809D64C9DF7F . 2999296 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-07-30 . DD7E25E20AEBD672DAE7E1D911C2D824 . 1589760 . . [6.00.2900.5512] . . c:\windows\Lion Skin Pack\Backup\explorer.exe
.
[-] 2008-04-14 . 857D90FBC73735695A90B3C62BAB019D . 795648 . . [5.1.2600.5512] . . c:\windows\regedit.exe
[-] 2008-04-14 . C2DCB09A1EA98F248DD9A5DE195B3DF3 . 277504 . . [5.1.2600.5512] . . c:\windows\Lion Skin Pack\Backup\regedit.exe
.
[7] 2010-07-16 . 6D1A3A355CA2AC64D2D5BAEC25C16427 . 1287680 . . [5.1.2600.6010] . . c:\windows\Lion Skin Pack\Backup\ole32.dll
[-] 2010-07-16 . 17A9CF5C22732B9BE6404500965E57F4 . 1349632 . . [5.1.2600.6010] . . c:\windows\system32\ole32.dll
[-] 2010-07-16 . 17A9CF5C22732B9BE6404500965E57F4 . 1349632 . . [5.1.2600.6010] . . c:\windows\system32\dllcache\ole32.dll
[7] 2010-07-16 . C85BE0CF9C91EB64CECA1D639D71D4CC . 1288704 . . [5.1.2600.6010] . . c:\windows\$hf_mig$\KB979687\SP3QFE\ole32.dll
[7] 2008-04-14 . 21F836AAB269FF644E0E708B794B0DF7 . 1287168 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB979687$\ole32.dll
.
[-] 2008-08-01 . 4904E891E6C814DE9225400C8DAD494D . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2008-07-30 . 94927BB89A6825C4A5952A2BF78F027B . 40960 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinRoll"="c:\windows\Lion Skin Pack\Winroll\winroll.exe" [2006-01-01 15872]
"RocketDock"="c:\windows\Lion Skin Pack\RocketDock\RocketDock.exe" [2007-09-01 495616]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-01-28 1228800]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-07-30 40960]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-07-05 16:36 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IEPro\\MiniDM.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\MediaMonkey\\MediaMonkey (non-skinned).exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Common Files\\Microsoft Shared\\DW\\DW20.EXE"=
"c:\\WINDOWS\\system32\\WgaTray.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
.
S1 MpKsl7efec08c;MpKsl7efec08c; [x]
S1 MpKsla3b0f976;MpKsla3b0f976;\??\c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{EF3F76A4-93D8-460B-9556-4300DE35A2F6}\MpKsla3b0f976.sys --> c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{EF3F76A4-93D8-460B-9556-4300DE35A2F6}\MpKsla3b0f976.sys [?]
S2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3.11.2006 19:19 13592]
S3 Revoflt;Revoflt;c:\windows\system32\drivers\revoflt.sys [20.9.2011 8:30 27064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D58F39FF-953E-4F45-898F-59F243B9A523}]
2009-03-08 02:32 128512 ----a-w- c:\windows\system32\advpack.dll
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.cz/
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\documents and settings\Pepa\Data aplikací\Mozilla\Firefox\Profiles\jvwvpo9x.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.cz/
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-02 10:56
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(520)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\cscui.dll
.
- - - - - - - > 'lsass.exe'(576)
c:\windows\system32\setupapi.dll
.
- - - - - - - > 'explorer.exe'(2464)
c:\windows\system32\SHDOCVW.dll
c:\windows\Lion Skin Pack\RocketDock\RocketDock.dll
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\Lion Skin Pack\Winroll\winroll.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\stobject.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\Mixer.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Celkový čas: 2011-10-02 11:00:54 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-10-02 09:00
.
Před spuštěním: Volných bajtů: 32 337 408 000
Po spuštění: Volných bajtů: 32 588 611 584
.
- - End Of File - - 9FFE57109DE1B7714CC27B5626B0A41B

[memphisto]

Já si myslím, že za tohle může ten Lion skin pack. Tyhle balíky jsou hrob pro Windows. Dodávají si své soubory, které jsou nutné pro chod Win a až tě ten pack omrzí, tak jediný způsob, jak se ho zbavit je přeinstalovat celý systém. Navíc, pokud chceš skin Mac, tak si kup originál od Applu a ne podivný skin.

Přesuň Combofix na plochu a neotvírej ho z Tempu!

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

Driver::
MpKsla3b0f976

File::
c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{EF3F76A4-93D8-460B-9556-4300DE35A2F6}\MpKsla3b0f976.sys


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

[kotsi]

Asi to bude delat ten Lion skin pack tohle se me stalo asi pred mesicem tak jsem to preinstaloval.Uz neman cas jdu do prace ale dik za pomoc a ochotu.Zase to preinstaluji.Ahoj.