Modrá smrt

[jarom]

Ahoj, potřeboval bych radu. Mám tu nějaké starší pc - windows XP, Celeron 1.7GHz, 256MB RAM,Servis Pack 1. Běží 10-15min a pak se objeví modrá obrazovka.
Problém asi bude v souboru ntoskrnl.exe, můžete mi prosím poradit co s tím?
Díky

Tady je část crash souboru z WinDbg:

Symbol search path is: SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Unable to load image ntoskrnl.exe, Win32 error 0n2
** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Machine Name:
Kernel base = 0x804d4000 PsLoadedModuleList = 0x8054c850
Debug session time: Mon Jun 8 20:14:07.738 2009 (GMT+2)
System Uptime: 0 days 0:08:40.341
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe

MODULE_NAME: nt
FAULTING_MODULE: 804d4000 nt
DEBUG_FLR_IMAGE_TIMESTAMP: 422517e4
READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
fbdffc74
CURRENT_IRQL: ff
FAULTING_IP:
nt+5e736
80532736 1b5304 sbb edx,dword ptr [ebx+4]
CUSTOMER_CRASH_COUNT: 12
DEFAULT_BUCKET_ID: COMMON_SYSTEM_FAULT
BUGCHECK_STR: 0xA
LAST_CONTROL_TRANSFER: from 804ddb88 to 8052b591
STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
805428ac 804ddb88 0000000a fbdffc74 000000ff nt+0x57591
805428c8 806cd552 0000001c 00000202 804def4b nt+0x9b88
805428cc 00000000 00000202 804def4b 00205702 hal+0x6552

STACK_COMMAND: .bugcheck ; kb
FOLLOWUP_IP:
nt+5e736
80532736 1b5304 sbb edx,dword ptr [ebx+4]

SYMBOL_NAME: nt+5e736
FOLLOWUP_NAME: MachineOwner
IMAGE_NAME: ntoskrnl.exe
BUCKET_ID: WRONG_SYMBOLS
Followup: MachineOwner

[Reklama]

[Damned]

Stáhni si z mého podpisu Hijackthis a podle návodu jsem překopíruj log.

[jarom]

Tady to je:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:02:01, on 8.6.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\acs.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.atlas.cz/?from=icqhp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1275210071-854245398-1060284298-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Kniha klipů HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Chytrý výběr - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35FD5611-4120-4831-8CEF-FBA1F00CCD1E}: NameServer = 193.179.148.42
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINNT\System32\acs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

--
End of file - 5909 bytes

[Damned]

Úplně nejvhodnější by bylo stáhnout si SP3 a IE 8.

Spusť HJT a fixni (zatrhnout políčko před hodnotou zmáčknout "Fix checked"):

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)


Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[jarom]

Obsah logu z antimalwaru:

Malwarebytes' Anti-Malware 1.37
Verze databáze: 2182
Windows 5.1.2600 Service Pack 1

9.6.2009 9:28:45
mbam-log-2009-06-09 (09-28-41).txt

Typ skenu: Rychlý sken
Objektu skenováno: 73612
Uplynulý cas: 3 minute(s), 28 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 1
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> No action taken.

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

[Damned]

Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Vypni rezidentní štít antiviru (pokud máš tak i antispyware).
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah


Já tu budu až odpoledne.

[jarom]

Nainstaloval bych tam ten SP3 a IE8, jenze uz mi to pada cim dal casteji, takze je problem tam cokoli nainstalovat.
Tady je ten combofix.txt:

ComboFix 09-06-08.03 - ota 09.06.2009 10:13.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.420.1029.18.255.116 [GMT 2:00]
Spuštěný z: c:\documents and settings\ota\Plocha\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\system32\AutoRun.inf

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-05-09 do 2009-06-09 )))))))))))))))))))))))))))))))
.

2009-06-09 07:43 . 2009-06-09 07:43 -------- d-sh--w- C:\FOUND.020
2009-06-09 07:20 . 2009-05-26 11:20 40160 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-06-09 07:20 . 2009-06-09 07:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-09 07:20 . 2009-05-26 11:19 18456 ----a-w- c:\winnt\system32\drivers\mbam.sys
2009-06-08 19:58 . 2009-06-08 19:58 -------- d-----w- c:\program files\Trend Micro
2009-06-08 18:29 . 2009-06-08 18:29 -------- d-----w- C:\Symbols
2009-06-08 17:49 . 2009-06-08 17:49 -------- d-----w- c:\program files\Debugging Tools for Windows (x86)
2009-06-08 17:15 . 2009-06-08 17:15 -------- d-----w- c:\program files\Support Tools
2009-06-08 16:54 . 2009-06-08 16:54 -------- d-sh--w- C:\FOUND.019
2009-06-08 10:28 . 2009-06-08 10:28 -------- d-sh--w- C:\FOUND.018
2009-06-01 09:28 . 2009-06-01 09:28 -------- d-sh--w- C:\FOUND.017
2009-05-22 17:48 . 2009-05-22 17:48 -------- d-sh--w- C:\FOUND.016
2009-05-18 19:42 . 2008-06-09 13:16 147456 ----a-w- c:\winnt\system32\bzpdf101c.dll
2009-05-18 19:41 . 2009-05-18 19:41 -------- d-----w- c:\program files\Common Files\STORMWARE Shared
2009-05-17 15:21 . 2009-05-17 15:21 -------- d-sh--w- C:\FOUND.015
2009-05-10 13:52 . 2009-05-10 13:52 -------- d-sh--w- C:\FOUND.014

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-08 17:15 . 2004-05-13 16:04 2888 ----a-w- c:\winnt\PCHealth\HelpCtr\PackageStore\SkuStore.bin
2009-06-08 10:36 . 2004-05-16 17:20 9 ----a-w- c:\winnt\im32st.dat
2009-03-14 16:54 . 2004-05-13 15:46 50620 ----a-w- c:\winnt\system32\command.com
2005-04-29 17:47 . 2005-04-29 17:47 107 ----a-w- c:\program files\GPRSpeed Plus Client setup.log
2002-10-31 08:23 . 2002-10-31 08:23 11253 ---h--w- c:\program files\folder.htt
2005-02-07 21:52 . 2004-06-21 22:55 1682 --sha-w- c:\winnt\system32\KGyGaAvL.sys
2004-06-21 22:55 . 2004-06-21 22:55 8 --sh--r- c:\winnt\system32\3F2DDCA2D4.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-11-15 1670144]
"ICQ"="c:\program files\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"SoundMan"="SOUNDMAN.EXE" - c:\winnt\SOUNDMAN.EXE [2002-08-02 46592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\System32\CTFMON.EXE" [2003-04-16 13312]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Ulead Photo Express 4.0 SE Calendar Checker .lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Ulead Photo Express 4.0 SE Calendar Checker .lnk
backup=c:\winnt\pss\Ulead Photo Express 4.0 SE Calendar Checker .lnkCommon Startup

R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [23.7.2008 18:23 222456]
S3 FileObjInfo;STFileDriver;\??\c:\documents and settings\All Users\Data aplikací\Spyware Terminator\FileObjInfo.sys --> c:\documents and settings\All Users\Data aplikací\Spyware Terminator\FileObjInfo.sys [?]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - MBAMSwissArmy

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Obsah adresáře 'Naplánované úlohy'

2008-06-29 c:\winnt\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

SafeBoot-procexp90.Sys


.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.atlas.cz/?from=icqhp
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
TCP: {35FD5611-4120-4831-8CEF-FBA1F00CCD1E} = 193.179.148.42
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-09 10:16
Windows 5.1.2600 Service Pack 1 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(584)
c:\winnt\system32\ODBC32.dll

- - - - - - - > 'lsass.exe'(648)
c:\winnt\System32\dssenh.dll
.
Celkový čas: 2009-06-09 10:18
ComboFix-quarantined-files.txt 2009-06-09 08:18

Před spuštěním: Volných bajtů: 52 417 396 736
Po spuštění: Volných bajtů: 52 484 276 224

99 --- E O F --- 2009-06-07 19:25

[mareksn]

ahoj skus pouzit to co ti tu radia a ked sa ti podari rozbehat PC a nebudes chciet riesit podobny problem zase o par dni resp. tyzdnov skus pouzit hddguarder a zabudnes ze niejaky virusova hrozba existuje. prajem vela zdaru a pozri hddguarder.sk

[Damned]

Na Virustotalu zkontroluj červený soubor:

c:\winnt\system32\bzpdf101c.dll

a vlož sem potom odkaz na výsledek.
*****************************************************************************************************************************************

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

File::
C:\FOUND.020
C:\FOUND.019
C:\FOUND.018
C:\FOUND.017
C:\FOUND.016
C:\FOUND.015
C:\FOUND.014
c:\program files\folder.htt

Folder::
C:\FOUND.020
C:\FOUND.019
C:\FOUND.018
C:\FOUND.017
C:\FOUND.016
C:\FOUND.015
C:\FOUND.014
c:\program files\folder.htt

Driver::
FileObjInfo;STFileDriver;
FileObjInfo



Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

[jarom]

Tak tady je odkaz na virustotal:
[url=]http://www.virustotal.com/cs/analisis/22254c4f37d81d18840fed464b80e0cf283c3c0593719ccd691e425ea757d5ee-1244555633
[/url]


Log z Combofixu:

ComboFix 09-06-08.03 - ota 09.06.2009 16:00.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.420.1029.18.255.85 [GMT 2:00]
Spuštěný z: c:\documents and settings\ota\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\ota\Plocha\CFScript.txt

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
"C:\FOUND.014"
"C:\FOUND.015"
"C:\FOUND.016"
"C:\FOUND.017"
"C:\FOUND.018"
"C:\FOUND.019"
"C:\FOUND.020"
"c:\program files\folder.htt"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\FOUND.014
c:\found.014\FILE0000.CHK
c:\found.014\FILE0001.CHK
c:\found.014\FILE0002.CHK
c:\found.014\FILE0003.CHK
c:\found.014\FILE0004.CHK
c:\found.014\FILE0005.CHK
c:\found.014\FILE0006.CHK
c:\found.014\FILE0007.CHK
c:\found.014\FILE0008.CHK
c:\found.014\FILE0009.CHK
c:\found.014\FILE0010.CHK
c:\found.014\FILE0011.CHK
c:\found.014\FILE0012.CHK
c:\found.014\FILE0013.CHK
c:\found.014\FILE0014.CHK
c:\found.014\FILE0015.CHK
c:\found.014\FILE0016.CHK
c:\found.014\FILE0017.CHK
C:\FOUND.015
c:\found.015\FILE0000.CHK
c:\found.015\FILE0001.CHK
c:\found.015\FILE0002.CHK
C:\FOUND.016
c:\found.016\FILE0000.CHK
c:\found.016\FILE0001.CHK
c:\found.016\FILE0002.CHK
c:\found.016\FILE0003.CHK
c:\found.016\FILE0004.CHK
c:\found.016\FILE0005.CHK
c:\found.016\FILE0006.CHK
c:\found.016\FILE0007.CHK
c:\found.016\FILE0008.CHK
c:\found.016\FILE0009.CHK
c:\found.016\FILE0010.CHK
c:\found.016\FILE0011.CHK
c:\found.016\FILE0012.CHK
c:\found.016\FILE0013.CHK
C:\FOUND.017
c:\found.017\FILE0000.CHK
c:\found.017\FILE0001.CHK
c:\found.017\FILE0002.CHK
C:\FOUND.018
c:\found.018\FILE0000.CHK
c:\found.018\FILE0001.CHK
C:\FOUND.019
c:\found.019\FILE0000.CHK
c:\found.019\FILE0001.CHK
c:\found.019\FILE0002.CHK
C:\FOUND.020
c:\found.020\FILE0000.CHK
c:\found.020\FILE0001.CHK
c:\found.020\FILE0002.CHK
c:\found.020\FILE0003.CHK
c:\found.020\FILE0004.CHK
c:\program files\folder.htt

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FILEOBJINFO
-------\Service_FileObjInfo


((((((((((((((((((((((((( Soubory vytvořené od 2009-05-09 do 2009-06-09 )))))))))))))))))))))))))))))))
.

2009-06-09 07:20 . 2009-05-26 11:20 40160 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-06-09 07:20 . 2009-06-09 07:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-09 07:20 . 2009-05-26 11:19 18456 ----a-w- c:\winnt\system32\drivers\mbam.sys
2009-06-08 19:58 . 2009-06-08 19:58 -------- d-----w- c:\program files\Trend Micro
2009-06-08 18:29 . 2009-06-08 18:29 -------- d-----w- C:\Symbols
2009-06-08 17:49 . 2009-06-08 17:49 -------- d-----w- c:\program files\Debugging Tools for Windows (x86)
2009-06-08 17:15 . 2009-06-08 17:15 -------- d-----w- c:\program files\Support Tools
2009-05-18 19:42 . 2008-06-09 13:16 147456 ----a-w- c:\winnt\system32\bzpdf101c.dll
2009-05-18 19:41 . 2009-05-18 19:41 -------- d-----w- c:\program files\Common Files\STORMWARE Shared

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-09 09:03 . 2004-05-13 15:48 46196 ----a-w- c:\winnt\system32\perfc005.dat
2009-06-09 09:03 . 2004-05-13 15:48 309990 ----a-w- c:\winnt\system32\perfh005.dat
2009-06-08 17:15 . 2004-05-13 16:04 2888 ----a-w- c:\winnt\PCHealth\HelpCtr\PackageStore\SkuStore.bin
2009-06-08 10:36 . 2004-05-16 17:20 9 ----a-w- c:\winnt\im32st.dat
2009-03-14 16:54 . 2004-05-13 15:46 50620 ----a-w- c:\winnt\system32\command.com
2005-04-29 17:47 . 2005-04-29 17:47 107 ----a-w- c:\program files\GPRSpeed Plus Client setup.log
2005-02-07 21:52 . 2004-06-21 22:55 1682 --sha-w- c:\winnt\system32\KGyGaAvL.sys
2004-06-21 22:55 . 2004-06-21 22:55 8 --sh--r- c:\winnt\system32\3F2DDCA2D4.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-06-09_08.16.41 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-05-13 15:47 . 2009-06-09 09:03 40128 c:\winnt\system32\perfc009.dat
- 2004-05-13 15:47 . 2006-09-17 17:22 40128 c:\winnt\system32\perfc009.dat
+ 2004-05-13 15:47 . 2009-06-09 09:03 311740 c:\winnt\system32\perfh009.dat
- 2004-05-13 15:47 . 2006-09-17 17:22 311740 c:\winnt\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-11-15 1670144]
"ICQ"="c:\program files\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"SoundMan"="SOUNDMAN.EXE" - c:\winnt\SOUNDMAN.EXE [2002-08-02 46592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\System32\CTFMON.EXE" [2003-04-16 13312]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Ulead Photo Express 4.0 SE Calendar Checker .lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Ulead Photo Express 4.0 SE Calendar Checker .lnk
backup=c:\winnt\pss\Ulead Photo Express 4.0 SE Calendar Checker .lnkCommon Startup

R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [23.7.2008 18:23 222456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Obsah adresáře 'Naplánované úlohy'

2008-06-29 c:\winnt\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.atlas.cz/?from=icqhp
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
TCP: {35FD5611-4120-4831-8CEF-FBA1F00CCD1E} = 193.179.148.42
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-09 16:07
Windows 5.1.2600 Service Pack 1 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(584)
c:\winnt\system32\ODBC32.dll

- - - - - - - > 'lsass.exe'(640)
c:\winnt\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3464)
c:\winnt\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\winnt\SYSTEM32\ACS.EXE
c:\program files\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXE
c:\winnt\SYSTEM32\WDFMGR.EXE
.
**************************************************************************
.
Celkový čas: 2009-06-09 16:09 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-06-09 14:09
ComboFix2.txt 2009-06-09 08:18

Před spuštěním: Volných bajtů: 52 488 142 848
Po spuštění: Volných bajtů: 52 427 030 528

175 --- E O F --- 2009-06-07 19:25




a tady log z HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:10:28, on 9.6.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\acs.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ICQ6\ICQ.exe
C:\WINNT\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.atlas.cz/?from=icqhp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Kniha klipů HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Chytrý výběr - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35FD5611-4120-4831-8CEF-FBA1F00CCD1E}: NameServer = 193.179.148.42
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINNT\System32\acs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

--
End of file - 5782 bytes

[jarom]

tak jeste jednou ten odkaz

[Damned]

Tuto složku znáš? C:\Symbols

A odinstaluj si ten ICQ6 Toolbar.