Prosím o vážnou kontrolu logu Vyřešeno

[Airm]

Připojil jsem externí disk vypnul vše a přes IE zapnul F-Secure nastavil jsem úplnou kontrolu ale zdá se mi že to zkontrolovalo jen 1 oddíl ze 2 a externí disk vůbec.

Hlášení kontroly
Středa, Únor 15, 2012 04:49:06 - 05:05:12
Název počítače: SERVER
Typ kontroly: Kontrolovat systém na přítomnost malwaru, spywaru a programů rootkit
Cíl: C:\ D:\ K:\


--------------------------------------------------------------------------------

Nebyl nalezen žádný malware.

--------------------------------------------------------------------------------

Statistika
Kontrolováno:
Soubory: 37717
Systém: 2506
Nekontrolováno: 8
Akce:
Vyléčeno: 0
Přejmenováno: 0
Odstraněno: 0
Nevyčištěno: 0
Odesláno: 0
Nekontrolované soubory:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\DOCUMENTS AND SETTINGS\HLAVNÍ\LOCAL SETTINGS\TEMP\HSPERFDATA_HLAVNÍ\4092
C:\DOCUMENTS AND SETTINGS\HLAVNÍ\LOCAL SETTINGS\TEMP\HSPERFDATA_HLAVNÍ\4072

--------------------------------------------------------------------------------

Možnosti
Moduly kontroly:
Možnosti kontroly:
Kontrolovat určené soubory: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Používat pokročilou heuristiku

--------------------------------------------------------------------------------

Copyright © 1998–2009 Podpora produktu | Odeslat vzorek viru společnosti F-Secure
Společnost F-Secure nepřejímá jakoukoli odpovědnost za materiály vytvořené nebo publikované třetími stranami, na které odkazují webové stránky společnosti F-Secure. Pokud odešlete na kterýkoli z našich serverů jakýkoli materiál (například pomocí e-mailu nebo prostřednictvím e-mailu F-Secure CGI), souhlasíte, že všechny vámi zpřístupněné materiály mohou být publikovány na webových stránkách společnosti F-Secure nebo tiskově publikovány, s výjimkou případu, kdy jednoznačně oznámíte svůj nesouhlas. Veřejné webové stránky společnosti F-Secure navštívíte klepnutím na následující odkazy. Současně bude váš přístup zaznamenán do našich osobních statistik přístupu pro název vaší domény. Tato informace nebude předávána třetím stranám. Tímto vyjadřujete svůj souhlas s tím, že ohledně odesílaných materiálů nepodniknete vůči nám jakékoli právní kroky. Odesláním materiálu opravňujete společnost F-Secure k tomu, že může začlenit jakékoli koncepty popsané v těchto materiálech bez dalších závazků, pokud výslovně neuvedete jinak.

[Reklama]

[Airm]

Ale kontrola z MbAM mi ukázala 2 soubory v System Volume Information

Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware) 1.60.1.1000
www.malwarebytes.org

Verze databáze: v2012.02.14.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Hlavní :: SERVER [administrátor]

Ochrana: Zakázána

15.2.2012 5:06:48
mbam-log-2012-02-15 (05-22-52).txt

Typ: Vlastní kontrola
Nastavení kontroly povoleno: Systémové soubory | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: Paměť | Po spuštění | Registr | Heuristická analýza Extra | P2P
Kontrolované objekty: 8042
Uplynulý čas: 5 minut, 25 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 2
K:\System Volume Information\_restore{5DCBD680-2F69-4865-93C1-5BB80EE9EA64}\RP311\A0378314.exe (Malware.Packer.Gen) -> Žádná instrukce nebyla provedena.
K:\System Volume Information\_restore{8B12F5BE-DFF2-481C-B3DA-4CAE1CDFA187}\RP2\A0000102.exe (Malware.Packer.Gen) -> Žádná instrukce nebyla provedena.

(konec)

[jaro3]

Hm , tak to uděláme klasicky.

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujisti se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit nový log z MbAM.

Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

[Airm]

Přes Malwarebytes Anti.Malware jsem to musel udělat tak že jsem otevřel Tento Počítač pravé tlačítko myši na externí disk a scan.

Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware) 1.60.1.1000
www.malwarebytes.org

Verze databáze: v2012.02.14.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Hlavní :: SERVER [administrátor]

Ochrana: Povolena

15.2.2012 8:00:55
mbam-log-2012-02-15 (08-00-55).txt

Typ: Vlastní kontrola
Nastavení kontroly povoleno: Systémové soubory | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: Paměť | Po spuštění | Registr | Heuristická analýza Extra | P2P
Kontrolované objekty: 8042
Uplynulý čas: 5 minut, 19 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 2
K:\System Volume Information\_restore{5DCBD680-2F69-4865-93C1-5BB80EE9EA64}\RP311\A0378314.exe (Malware.Packer.Gen) -> Umístnění do karantény a smazání se zdařilo.
K:\System Volume Information\_restore{8B12F5BE-DFF2-481C-B3DA-4CAE1CDFA187}\RP2\A0000102.exe (Malware.Packer.Gen) -> Umístnění do karantény a smazání se zdařilo.

(konec)

[Airm]

Program po mě chtěl restartování PC tak jsem to udělal.

[Airm]

ComboFix 12-02-13.01 - Hlavní 15.02.2012 8:13.3.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.3070.2538 [GMT 1:00]
Spuštěný z: c:\documents and settings\HlavnÝ\Plocha\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0405.exe
D:\install.exe
K:\Autorun.inf
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-01-15 do 2012-02-15 )))))))))))))))))))))))))))))))
.
.
2012-02-13 10:50 . 2012-02-13 11:14 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-02-13 07:46 . 2012-02-13 07:46 -------- d-----w- C:\NVIDIA
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-25 21:57 . 2002-09-23 12:00 293376 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2002-09-23 12:00 1859584 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2002-09-23 12:00 60416 ----a-w- c:\windows\system32\packager.exe
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2011-12-05 20065384]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-01-07 111208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-09-30 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2012-2-14 113664]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Hry\\Age of Empires 2 Conquerors\\MYTH-Age2_x1.exe"=
"d:\\Hry\\Victory\\VaeVictis\\Victory\\Victory.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57330:TCP"= 57330:TCP:Pando Media Booster
"57330:UDP"= 57330:UDP:Pando Media Booster
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [13.2.2012 10:36 691696]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [13.2.2012 8:16 652360]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [13.2.2012 8:16 20464]
S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.cz/
TCP: DhcpNameServer = 10.0.0.138
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Adobe Photoshop 7.0 CE - c:\windows\ISUN0405.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-15 08:17
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Celkový čas: 2012-02-15 08:18:14
ComboFix-quarantined-files.txt 2012-02-15 07:18
.
Před spuštěním: Volných bajtů: 200 494 510 080
Po spuštění: Volných bajtů: 200 703 401 984
.
- - End Of File - - C3543DB91086B2C6B4C38633A9E01B6B

[Airm]

Jinak jak jste mi radil že mám dát kontrolu chyb na disku a znova spustit HD Tune tak ten červený čtvereček tam je pořád.
A chci se zeptat ... na 2 oddílu mám hodně souborů eula a nevím odkud se tam vzali když ho mám od včerejška nově naformátovaný.
Můžu je smazat když je tam nechci ?

[jaro3]

To smaž..

zase odinstaluj Combofix a použij T-Cleaner.


ten ext. disk, nech připojen--projeď ho antivirem , nebo použij ten Kaspersky Rescue disk , který už máš vypálený. Nezapomeň zatrhnout všechny disky.

[Airm]

Dobře ... děkuji ti za pomoc vážím si vaší práce. Všechno už běží normálně až na Youtube kde mám menší problém ... používám Operu a když něco spustím přes celou obrazovku tak se to seká ale to snad někde najdu radu jak to opravit

[jaro3]

Nemáš zač!

Pokud bude vše OK :
Pokud nebudou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.