Pls help VIR!!!!
Moderátoři: Mods_senior, Security team
Pravidla fóra
Návod na použití programu HijackThis || Návod na vyčištění počítače CCleanerem || FAQ: Antiviry
Návod na použití programu HijackThis || Návod na vyčištění počítače CCleanerem || FAQ: Antiviry
Restartuješ počítač a při spouštění mačkáš F8 - z menu vybereš stav nouze a počkáš až najede obvyklá úvodní obrazovka - tam si vyber jednoho uživatele a přihlaš se - pak už jen spusť soubor RunThis.bat atd....
Ale pokud by si opravdu nevěděl, tak vezmem ComboFix:
Stáhněte a uložte na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Spusťte aplikaci pod účtem s administrátorským oprávněním - zavřete všechny spuštěné programy - následuje licenční ujednání, klikněte na Ano - začne se testovat (celá akce trvá cca. 5-10 minut, někdy i trochu déle) - během skenu se nepokoušejte spouštět žádne jiné aplikace a neklikejte do okna ComboFixu - po dokončení se automaticky otevře okno poznámkového bloku s textem (pokud se tak nestane, log je v C:\ComboFix.txt), který sem pomocí známých klávesových zkratek Ctrl + A (označení celého textu) -> Ctrl + C (uložení do jakési schránky) -> Ctrl + V (vložení textu) zkopírujte - a počkejte na další postup
VAROVÁNÍ: Pokud se vám zobrazí "CRITICAL WARNING !!" nesmíte restartovat počítač, o varování napište.
VAROVÁNÍ2: Je možné, že při testu budou různé bezpečnostní programy hlásit neoprávněný pokus o smazání daného souboru či něco jiného. Povolte jejich případné dotazy nebo na dobu scanu úplně vypněte rezidentní modul daného programu.
Ale pokud by si opravdu nevěděl, tak vezmem ComboFix:
Stáhněte a uložte na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Spusťte aplikaci pod účtem s administrátorským oprávněním - zavřete všechny spuštěné programy - následuje licenční ujednání, klikněte na Ano - začne se testovat (celá akce trvá cca. 5-10 minut, někdy i trochu déle) - během skenu se nepokoušejte spouštět žádne jiné aplikace a neklikejte do okna ComboFixu - po dokončení se automaticky otevře okno poznámkového bloku s textem (pokud se tak nestane, log je v C:\ComboFix.txt), který sem pomocí známých klávesových zkratek Ctrl + A (označení celého textu) -> Ctrl + C (uložení do jakési schránky) -> Ctrl + V (vložení textu) zkopírujte - a počkejte na další postup
VAROVÁNÍ: Pokud se vám zobrazí "CRITICAL WARNING !!" nesmíte restartovat počítač, o varování napište.
VAROVÁNÍ2: Je možné, že při testu budou různé bezpečnostní programy hlásit neoprávněný pokus o smazání daného souboru či něco jiného. Povolte jejich případné dotazy nebo na dobu scanu úplně vypněte rezidentní modul daného programu.
lool
ComboFix 08-03-05.3 - JA 2008-03-06 20:02:36.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.555 [GMT 1:00]
Running from: C:\Documents and Settings\JA\Plocha\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\dkxrstqxqp.dll
C:\WINDOWS\enlfxgw.dll
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
D:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2008-02-06 to 2008-03-06 )))))))))))))))))))))))))))))))
.
2008-03-06 19:11 . 2008-03-06 19:11 16,556 --a------ C:\Program Files\tmp89656.exe
2008-03-06 19:10 . 2008-03-06 19:10 16,556 --a------ C:\Program Files\tmp42875.exe
2008-03-06 18:05 . 2008-03-06 18:05 16,612 --a------ C:\Program Files\tmp82875.exe
2008-03-06 18:05 . 2008-03-06 18:05 16,612 --a------ C:\Program Files\tmp70593.exe
2008-03-06 15:21 . 2008-03-06 15:21 16,468 --a------ C:\Program Files\tmp67890.exe
2008-03-06 15:21 . 2008-03-06 15:21 16,468 --a------ C:\Program Files\tmp58171.exe
2008-03-06 14:53 . 2008-03-05 01:05 339,968 --a------ C:\WINDOWS\btrklfr.dll
2008-03-06 14:53 . 2008-03-05 01:05 315,392 --a------ C:\WINDOWS\apdqnxp.dll
2008-03-06 14:53 . 2008-03-05 01:05 102,400 --a------ C:\WINDOWS\fqspogw.exe
2008-03-06 14:53 . 2008-03-06 14:53 36,060 --a------ C:\Program Files\instaler.exe
2008-03-06 14:53 . 2008-03-06 14:53 16,500 --a------ C:\Program Files\tmp13312953.exe
2008-03-06 14:53 . 2008-03-06 14:53 16,500 --a------ C:\Program Files\tmp13311484.exe
2008-03-06 14:53 . 2008-03-06 14:53 12,032 --a------ C:\Program Files\antiviirus.exe
2008-03-02 16:52 . 2008-03-06 19:11 <DIR> d-------- C:\Documents and Settings\JA\Data aplikací\Spyware Terminator
2008-03-01 12:28 . 2008-03-01 12:28 <DIR> d-------- C:\Program Files\Curse
2008-02-28 21:40 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-02-28 21:40 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-28 21:40 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-02-28 21:40 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-28 21:40 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-28 21:40 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-28 21:39 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-02-28 21:39 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-02-28 21:35 . 2008-02-28 21:35 298,576 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-02-28 21:35 . 2008-02-28 21:35 114,688 --a------ C:\WINDOWS\system32\nms32.dll
2008-02-25 09:36 . 2008-02-25 09:36 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2008-02-25 09:36 . 2008-02-25 09:36 <DIR> d-------- C:\Documents and Settings\JA\Data aplikací\teamspeak2
2008-02-25 09:36 . 2008-02-25 09:36 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-02-21 20:01 . 2008-02-28 21:35 180,224 --a------ C:\WINDOWS\system32\imon.dll
2008-02-13 19:02 . 2008-02-13 19:16 <DIR> d-------- C:\Program Files\RADVideo
2008-02-13 14:22 . 2008-02-13 14:25 <DIR> d-------- C:\ICQ6
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-06 18:12 --------- d-----w C:\Program Files\Spyware Terminator
2008-03-06 17:58 --------- d-----w C:\Program Files\TrackMania Nations ESWC
2008-03-06 13:53 --------- d-----w C:\Program Files\ICQToolbar
2008-03-06 13:53 --------- d-----w C:\Program Files\ESET
2008-03-04 13:22 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\Spyware Terminator
2008-03-03 14:45 3,222 ----a-w C:\Documents and Settings\JA\Data aplikací\mdb.bin
2008-03-01 14:59 --------- d-----w C:\Documents and Settings\JA\Data aplikací\Skype
2008-03-01 13:04 --------- d-----w C:\Documents and Settings\JA\Data aplikací\uTorrent
2008-02-29 08:32 138,752 ----a-w C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-02-13 13:29 --------- d-----w C:\Documents and Settings\JA\Data aplikací\ICQ
2008-02-11 17:01 --------- d-----w C:\Documents and Settings\JA\Data aplikací\dvdcss
2008-02-09 08:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-06 16:20 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-06 16:20 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-05 20:45 --------- d-----w C:\Program Files\GamePark
2008-02-05 17:48 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-05 17:43 22,328 ----a-w C:\Documents and Settings\JA\Data aplikací\PnkBstrK.sys
2008-02-03 17:49 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-03 17:38 --------- d-----w C:\Program Files\Sierra
2008-02-03 16:27 --------- d-----w C:\Program Files\Microsoft Games
2008-02-01 09:29 --------- d-----w C:\Program Files\DivX
2008-02-01 08:17 --------- d-----w C:\Program Files\ICQLite
2008-01-30 17:16 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\DVD Shrink
2008-01-29 17:30 --------- d-----w C:\Program Files\DVD Shrink
2008-01-26 10:56 --------- d-----w C:\Documents and Settings\JA\Data aplikací\Happy Foto
2008-01-24 13:48 --------- d-----w C:\Program Files\MGI
2008-01-24 13:48 --------- d-----w C:\Program Files\directx
2008-01-24 13:48 --------- d-----w C:\Program Files\Common Files\MGI Shared
2008-01-24 13:48 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\MGI
2008-01-24 13:43 --------- d-----w C:\Program Files\CAM-IN SUITE III
2008-01-08 18:07 --------- d-----w C:\Program Files\Svět koní
2008-01-06 14:17 --------- d-----w C:\Program Files\Real Alternative
2008-01-06 14:17 --------- d-----w C:\Documents and Settings\JA\Data aplikací\Media Player Classic
2006-02-19 02:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 14:49 15360]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-03 23:29 165784]
"CurseClient"="C:\Program Files\Curse\CurseClient.exe" [2008-01-30 21:33 477696]
"ICQ"="C:\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-08-14 03:51 352256]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 00:07 61440]
"SpywareTerminator"="C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe" [2008-02-29 09:32 2957824]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 14:49 110592 C:\WINDOWS\system32\bthprops.cpl]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-02-28 21:35 778240]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"antiviirus"="C:\Program Files\antiviirus.exe" [2008-03-06 14:53 12032]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 14:49 15360]
C:\Documents and Settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Hlavnˇ panel ATI CATALYST.lnk - C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 61440]
Rychlě zaź tek s aplikacˇ HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 07:56:20 73728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"btrklfr"= {793A530A-0B31-4253-BC8E-2031200910F1} - C:\WINDOWS\btrklfr.dll [2008-03-05 01:05 339968]
"AlrtRam"= {1c80c374-9487-41e7-9484-6b0139992441} - C:\WINDOWS\Installer\{1c80c374-9487-41e7-9484-6b0139992441}\AlrtRam.dll [2008-03-06 14:53 18574]
"apdqnxp"= {1E9FB6DA-33A3-446B-9D8F-D21F25798AB4} - C:\WINDOWS\apdqnxp.dll [2008-03-05 01:05 315392]
"zip"= {bc031196-5384-4f63-88ae-7b27fd62d3db} - C:\WINDOWS\Installer\{bc031196-5384-4f63-88ae-7b27fd62d3db}\zip.dll [2008-03-06 14:53 23178]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
LMIinit.dll 2007-11-15 18:46 87352 C:\WINDOWS\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SkyTel"=SkyTel.EXE
"RTHDCPL"=RTHDCPL.EXE
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\JA\\Plocha\\StrongDC.exe"=
"D:\\rc10\\StrongDC.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"D:\\World of Warcraft\\Repair.exe"=
"C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Program Files\\TrackMania Nations ESWC\\TmDedicatedServer\\TrackManiaServer.exe"=
"C:\\ICQ6\\ICQ.exe"=
"C:\\Program Files\\TrackMania Nations ESWC\\TrackManiaServer.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Microsoft Games\\Zoo Tycoon 2\\zt.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-02-29 09:32]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-08-03 15:09]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-03 22:04]
S2 LMIInfo;LogMeIn Kernel Information Provider;C:\Program Files\LogMeIn\x86\RaInfo.sys []
.
Contents of the 'Scheduled Tasks' folder
"2008-02-29 16:15:00 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-03 13:28:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 20:05:04
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\imon.dll
-> C:\Program Files\Eset\pr_imon.dll
.
Completion time: 2008-03-06 20:05:44
ComboFix-quarantined-files.txt 2008-03-06 19:05:35
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.555 [GMT 1:00]
Running from: C:\Documents and Settings\JA\Plocha\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\dkxrstqxqp.dll
C:\WINDOWS\enlfxgw.dll
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
D:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2008-02-06 to 2008-03-06 )))))))))))))))))))))))))))))))
.
2008-03-06 19:11 . 2008-03-06 19:11 16,556 --a------ C:\Program Files\tmp89656.exe
2008-03-06 19:10 . 2008-03-06 19:10 16,556 --a------ C:\Program Files\tmp42875.exe
2008-03-06 18:05 . 2008-03-06 18:05 16,612 --a------ C:\Program Files\tmp82875.exe
2008-03-06 18:05 . 2008-03-06 18:05 16,612 --a------ C:\Program Files\tmp70593.exe
2008-03-06 15:21 . 2008-03-06 15:21 16,468 --a------ C:\Program Files\tmp67890.exe
2008-03-06 15:21 . 2008-03-06 15:21 16,468 --a------ C:\Program Files\tmp58171.exe
2008-03-06 14:53 . 2008-03-05 01:05 339,968 --a------ C:\WINDOWS\btrklfr.dll
2008-03-06 14:53 . 2008-03-05 01:05 315,392 --a------ C:\WINDOWS\apdqnxp.dll
2008-03-06 14:53 . 2008-03-05 01:05 102,400 --a------ C:\WINDOWS\fqspogw.exe
2008-03-06 14:53 . 2008-03-06 14:53 36,060 --a------ C:\Program Files\instaler.exe
2008-03-06 14:53 . 2008-03-06 14:53 16,500 --a------ C:\Program Files\tmp13312953.exe
2008-03-06 14:53 . 2008-03-06 14:53 16,500 --a------ C:\Program Files\tmp13311484.exe
2008-03-06 14:53 . 2008-03-06 14:53 12,032 --a------ C:\Program Files\antiviirus.exe
2008-03-02 16:52 . 2008-03-06 19:11 <DIR> d-------- C:\Documents and Settings\JA\Data aplikací\Spyware Terminator
2008-03-01 12:28 . 2008-03-01 12:28 <DIR> d-------- C:\Program Files\Curse
2008-02-28 21:40 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-02-28 21:40 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-28 21:40 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-02-28 21:40 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-28 21:40 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-28 21:40 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-28 21:39 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-02-28 21:39 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-02-28 21:35 . 2008-02-28 21:35 298,576 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-02-28 21:35 . 2008-02-28 21:35 114,688 --a------ C:\WINDOWS\system32\nms32.dll
2008-02-25 09:36 . 2008-02-25 09:36 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2008-02-25 09:36 . 2008-02-25 09:36 <DIR> d-------- C:\Documents and Settings\JA\Data aplikací\teamspeak2
2008-02-25 09:36 . 2008-02-25 09:36 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-02-21 20:01 . 2008-02-28 21:35 180,224 --a------ C:\WINDOWS\system32\imon.dll
2008-02-13 19:02 . 2008-02-13 19:16 <DIR> d-------- C:\Program Files\RADVideo
2008-02-13 14:22 . 2008-02-13 14:25 <DIR> d-------- C:\ICQ6
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-06 18:12 --------- d-----w C:\Program Files\Spyware Terminator
2008-03-06 17:58 --------- d-----w C:\Program Files\TrackMania Nations ESWC
2008-03-06 13:53 --------- d-----w C:\Program Files\ICQToolbar
2008-03-06 13:53 --------- d-----w C:\Program Files\ESET
2008-03-04 13:22 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\Spyware Terminator
2008-03-03 14:45 3,222 ----a-w C:\Documents and Settings\JA\Data aplikací\mdb.bin
2008-03-01 14:59 --------- d-----w C:\Documents and Settings\JA\Data aplikací\Skype
2008-03-01 13:04 --------- d-----w C:\Documents and Settings\JA\Data aplikací\uTorrent
2008-02-29 08:32 138,752 ----a-w C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-02-13 13:29 --------- d-----w C:\Documents and Settings\JA\Data aplikací\ICQ
2008-02-11 17:01 --------- d-----w C:\Documents and Settings\JA\Data aplikací\dvdcss
2008-02-09 08:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-06 16:20 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-06 16:20 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-05 20:45 --------- d-----w C:\Program Files\GamePark
2008-02-05 17:48 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-05 17:43 22,328 ----a-w C:\Documents and Settings\JA\Data aplikací\PnkBstrK.sys
2008-02-03 17:49 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-03 17:38 --------- d-----w C:\Program Files\Sierra
2008-02-03 16:27 --------- d-----w C:\Program Files\Microsoft Games
2008-02-01 09:29 --------- d-----w C:\Program Files\DivX
2008-02-01 08:17 --------- d-----w C:\Program Files\ICQLite
2008-01-30 17:16 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\DVD Shrink
2008-01-29 17:30 --------- d-----w C:\Program Files\DVD Shrink
2008-01-26 10:56 --------- d-----w C:\Documents and Settings\JA\Data aplikací\Happy Foto
2008-01-24 13:48 --------- d-----w C:\Program Files\MGI
2008-01-24 13:48 --------- d-----w C:\Program Files\directx
2008-01-24 13:48 --------- d-----w C:\Program Files\Common Files\MGI Shared
2008-01-24 13:48 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\MGI
2008-01-24 13:43 --------- d-----w C:\Program Files\CAM-IN SUITE III
2008-01-08 18:07 --------- d-----w C:\Program Files\Svět koní
2008-01-06 14:17 --------- d-----w C:\Program Files\Real Alternative
2008-01-06 14:17 --------- d-----w C:\Documents and Settings\JA\Data aplikací\Media Player Classic
2006-02-19 02:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 14:49 15360]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-03 23:29 165784]
"CurseClient"="C:\Program Files\Curse\CurseClient.exe" [2008-01-30 21:33 477696]
"ICQ"="C:\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-08-14 03:51 352256]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 00:07 61440]
"SpywareTerminator"="C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe" [2008-02-29 09:32 2957824]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 14:49 110592 C:\WINDOWS\system32\bthprops.cpl]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-02-28 21:35 778240]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"antiviirus"="C:\Program Files\antiviirus.exe" [2008-03-06 14:53 12032]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 14:49 15360]
C:\Documents and Settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Hlavnˇ panel ATI CATALYST.lnk - C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 61440]
Rychlě zaź tek s aplikacˇ HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 07:56:20 73728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"btrklfr"= {793A530A-0B31-4253-BC8E-2031200910F1} - C:\WINDOWS\btrklfr.dll [2008-03-05 01:05 339968]
"AlrtRam"= {1c80c374-9487-41e7-9484-6b0139992441} - C:\WINDOWS\Installer\{1c80c374-9487-41e7-9484-6b0139992441}\AlrtRam.dll [2008-03-06 14:53 18574]
"apdqnxp"= {1E9FB6DA-33A3-446B-9D8F-D21F25798AB4} - C:\WINDOWS\apdqnxp.dll [2008-03-05 01:05 315392]
"zip"= {bc031196-5384-4f63-88ae-7b27fd62d3db} - C:\WINDOWS\Installer\{bc031196-5384-4f63-88ae-7b27fd62d3db}\zip.dll [2008-03-06 14:53 23178]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
LMIinit.dll 2007-11-15 18:46 87352 C:\WINDOWS\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SkyTel"=SkyTel.EXE
"RTHDCPL"=RTHDCPL.EXE
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\JA\\Plocha\\StrongDC.exe"=
"D:\\rc10\\StrongDC.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"D:\\World of Warcraft\\Repair.exe"=
"C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Program Files\\TrackMania Nations ESWC\\TmDedicatedServer\\TrackManiaServer.exe"=
"C:\\ICQ6\\ICQ.exe"=
"C:\\Program Files\\TrackMania Nations ESWC\\TrackManiaServer.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Microsoft Games\\Zoo Tycoon 2\\zt.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-02-29 09:32]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-08-03 15:09]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-03 22:04]
S2 LMIInfo;LogMeIn Kernel Information Provider;C:\Program Files\LogMeIn\x86\RaInfo.sys []
.
Contents of the 'Scheduled Tasks' folder
"2008-02-29 16:15:00 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-03 13:28:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 20:05:04
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\imon.dll
-> C:\Program Files\Eset\pr_imon.dll
.
Completion time: 2008-03-06 20:05:44
ComboFix-quarantined-files.txt 2008-03-06 19:05:35
Není důležité zůčastnit se, ale vyhrát !!!
Dost toho tam zbylo, tak jdeme mazat.
Přesuňte Combofix na plochu (pokud ho tam ještě nemáte) - otevřete si poznámkový blok - do něj zkopírujte text z nasledujícího okna:
Text uložte jako CFScript.txt na plochu - po uložení uchopte vámi vytvořený soubor .txt levým tlačítkem myši a přesuňte jej nad ikonu ComboFixu - nad ikonou ComboFixu soubor .txt upusťte - spustí se ComboFix (možná budete muset znova potvrdit licenční podmínky kliknutím na Ano) - a CF začne znova scanovat, nakonci scanování se pokusí CF smazat zadané soubory či něco jiného, co jsme mu zadali - po provedení akce se opět zobrazí okno poznámkového bloku s textem, který sem zkopírujte a vyčkejte prosím na další rady
Přesuňte Combofix na plochu (pokud ho tam ještě nemáte) - otevřete si poznámkový blok - do něj zkopírujte text z nasledujícího okna:
Kód: Vybrat vše
File::
C:\Program Files\tmp89656.exe
C:\Program Files\tmp42875.exe
C:\Program Files\tmp82875.exe
C:\Program Files\tmp70593.exe
C:\Program Files\tmp67890.exe
C:\Program Files\tmp58171.exe
C:\WINDOWS\btrklfr.dll
C:\WINDOWS\apdqnxp.dll
C:\WINDOWS\fqspogw.exe
C:\Program Files\tmp13312953.exe
C:\Program Files\tmp13311484.exe
C:\Program Files\antiviirus.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"btrklfr"=-
"AlrtRam"=-
"apdqnxp"=-
"zip"=-Text uložte jako CFScript.txt na plochu - po uložení uchopte vámi vytvořený soubor .txt levým tlačítkem myši a přesuňte jej nad ikonu ComboFixu - nad ikonou ComboFixu soubor .txt upusťte - spustí se ComboFix (možná budete muset znova potvrdit licenční podmínky kliknutím na Ano) - a CF začne znova scanovat, nakonci scanování se pokusí CF smazat zadané soubory či něco jiného, co jsme mu zadali - po provedení akce se opět zobrazí okno poznámkového bloku s textem, který sem zkopírujte a vyčkejte prosím na další rady
Hudba je taky sbírka 0 a 1, takže bys mohl přehrát i program nebo obrázek, jen by to bylo asi nějaké škvrčení a pískání ...Zdravím tě. Pošli prosím aktuální log z ComboFixu:
Stáhněte a uložte na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Spusťte aplikaci pod účtem s administrátorským oprávněním - zavřete všechny spuštěné programy - následuje licenční ujednání, klikněte na Ano - začne se testovat (celá akce trvá cca. 5-10 minut, někdy i trochu déle) - během skenu se nepokoušejte spouštět žádne jiné aplikace a neklikejte do okna ComboFixu - po dokončení se automaticky otevře okno poznámkového bloku s textem (pokud se tak nestane, log je v C:\ComboFix.txt), který sem pomocí známých klávesových zkratek Ctrl + A (označení celého textu) -> Ctrl + C (uložení do jakési schránky) -> Ctrl + V (vložení textu) zkopírujte - a počkejte na další postup
VAROVÁNÍ: Pokud se vám zobrazí "CRITICAL WARNING !!" nesmíte restartovat počítač, o varování napište.
VAROVÁNÍ2: Je možné, že při testu budou různé bezpečnostní programy hlásit neoprávněný pokus o smazání daného souboru či něco jiného. Povolte jejich případné dotazy nebo na dobu scanu úplně vypněte rezidentní modul daného programu.
Stáhněte a uložte na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Spusťte aplikaci pod účtem s administrátorským oprávněním - zavřete všechny spuštěné programy - následuje licenční ujednání, klikněte na Ano - začne se testovat (celá akce trvá cca. 5-10 minut, někdy i trochu déle) - během skenu se nepokoušejte spouštět žádne jiné aplikace a neklikejte do okna ComboFixu - po dokončení se automaticky otevře okno poznámkového bloku s textem (pokud se tak nestane, log je v C:\ComboFix.txt), který sem pomocí známých klávesových zkratek Ctrl + A (označení celého textu) -> Ctrl + C (uložení do jakési schránky) -> Ctrl + V (vložení textu) zkopírujte - a počkejte na další postup
VAROVÁNÍ: Pokud se vám zobrazí "CRITICAL WARNING !!" nesmíte restartovat počítač, o varování napište.
VAROVÁNÍ2: Je možné, že při testu budou různé bezpečnostní programy hlásit neoprávněný pokus o smazání daného souboru či něco jiného. Povolte jejich případné dotazy nebo na dobu scanu úplně vypněte rezidentní modul daného programu.