Registry

[lelekdk]

cd s OS jsem hledal, ale neúspěšně .

[jan.svoboda]

A další kroky?

[lelekdk]

jinak momentálně provádím ten scan. Tedy pokud si se ptal na tohle

[jan.svoboda]

Jo ptal, OK.

[lelekdk]

Soubor CLASSPNP.SYS přijatý 2009.12.28 19:16:27 (UTC)
Současný stav: Dokončeno
Výsledek: 0/41 (0%)

[jan.svoboda]

Tak až budeš mít další, pošli. Je možné, že nějaký nepůjde nahrát, protože nebude existovat, o tom kdyžtak napiš.

[lelekdk]

druhý nejde.

třetí:

Soubor atapi.sys přijatý 2009.12.28 19:25:47 (UTC)
Současný stav: Dokončeno
Výsledek: 1/41 (2.44%)

McAfee-GW-Edition 6.8.5 2009.12.28 Heuristic.BehavesLike.Win32.Rootkit.H

[lelekdk]

čtvrtý:

Soubor ACPI.sys přijatý 2009.12.28 19:28:21 (UTC)
Současný stav: Dokončeno
Výsledek: 0/41 (0%)

[lelekdk]

pátý:

Soubor disk.sys přijatý 2009.12.28 19:30:41 (UTC)
Současný stav: Dokončeno
Výsledek: 0/41 (0%)

[lelekdk]

MBR:

první log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[lelekdk]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86180CD0]<<
kernel: MBR read successfully
user & kernel MBR OK

[jan.svoboda]

OK. Máš tam totiž škodlivého rootkita, který se drží. Takže znovu použij ComboFix a nyní se skriptem:

Kód: Vybrat vše

KillAll::

FCopy::
c:\windows\system32\dllcache\atapi.sys | c:\windows\system32\drivers\atapi.sys

[jan.svoboda]

BTW: Do kolika hodin máš dnes čas? Já asi tak do 01:00, rád bych to dořešil během dneška, ještě to na chviličku bude, ale stojí to za to. Po kompletním vyčištění pokud bude pořád problém s tou příponou .HOUSE to dořešíme.

[jan.svoboda]

Ještě doplním:
Používáš nějaké emulační programy (Alcohol 120%, Daemon tools, ...)?

[lelekdk]

času mám hromadu (dle potřeby)
jinak teď jdu opakovat skript v combofix... nějak se mi to zaseklo a musel jsem restartovat.
jinak mám virtual DEAMON manager V3.47

bez aktualizace atd. moc často nepoužívám

[jan.svoboda]

OK. Veškerý emulační software KOREKTNĚ odinstaluj.

Stahnete SPTD - http://www.duplexsecure.com/en/downloads , verzi dle sveho operacniho systemu.

SPTD for Windows (32 bit) nebo (64bit) a ulozte na plochu

spustte,zvolte moznost Uninstall, PO DOKONČENÍ COMBOFIXU A VLOŽENÍ SEM LOGU Z NĚHO restartujte PC.

[lelekdk]

ComboFix 09-12-27.03 - Zbiňďa 28.12.2009 21:11:48.5.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1023.694 [GMT 1:00]
Spuštěný z: c:\documents and settings\Zbiňďa\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Zbiňďa\Plocha\CFScript.txt

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
/wow section - STAGE 4


((((((((((((((((((((((((( Soubory vytvořené od 2009-11-28 do 2009-12-28 )))))))))))))))))))))))))))))))
.

2009-12-28 19:33 . 2009-12-28 19:33 77312 ----a-w- C:\mbr.exe
2009-12-28 11:53 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-28 11:53 . 2009-12-28 11:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-28 11:53 . 2009-12-03 15:13 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-28 10:50 . 2009-12-28 11:12 -------- d-----w- c:\program files\trend micro
2009-12-28 10:49 . 2009-12-28 10:50 -------- d-----w- C:\rsit
2009-11-29 13:06 . 2009-11-29 13:09 -------- d-----w- C:\Fraps
2009-11-28 23:52 . 2009-11-28 23:52 -------- d-----w- c:\program files\Recuva

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 19:06 . 2009-07-06 16:52 -------- d-----w- c:\program files\ICQ6.5
2009-12-28 15:45 . 2006-06-17 14:59 382464 ----a-w- c:\windows\system32\qmgr.dll
2009-12-20 12:06 . 2009-08-06 20:49 -------- d-----w- c:\program files\Opera
2009-12-19 16:43 . 2008-03-25 23:22 -------- d-----w- c:\program files\VideoLAN
2009-11-07 22:49 . 2009-11-07 22:49 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-10-25 09:05 . 2001-10-25 10:00 73416 ----a-w- c:\windows\system32\perfc005.dat
2009-10-25 09:05 . 2001-10-25 10:00 398746 ----a-w- c:\windows\system32\perfh005.dat
2009-10-16 18:29 . 2009-10-16 17:29 25 ----a-w- c:\windows\popcinfot.dat
2006-09-17 17:27 . 2006-09-17 17:27 11787500 ----a-w- c:\program files\DVDCopy.exe
2006-09-17 17:20 . 2006-09-17 17:20 1459223 ----a-w- c:\program files\zprava_103.zip
2006-06-17 15:43 . 2006-06-17 15:43 13578240 ----a-w- c:\program files\ACDSee 5.0 PowerPack Trial.msi
2008-07-27 13:53 . 2008-07-27 13:53 60518 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-07-27 13:53 . 2008-07-27 13:53 49248 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-07-27 13:53 . 2008-07-27 13:53 165992 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2009-12-28 . 2C69EC7E5A311334D10DD95F338FCCEA . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll
[7] 2002-09-20 . D8681F65568AC0C6C7ED11E028EE3503 . 221184 . . [6.2.2600.1106] . . c:\windows\ERDNT\cache\qmgr.dll



c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2009-12-28_14.20.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 20:16 . 2009-12-28 20:16 16384 c:\windows\Temp\Perflib_Perfdata_720.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2005-07-20 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"WinFoxV2"="c:\windows\System32\WF2K.EXE" [2005-08-26 1310720]
"WinFast2KLoadDefault"="wf2kcpl.dll" [2005-08-24 615424]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"watchdog"="c:\program files\WatchDog\WatchDog.exe" [2004-09-13 732672]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\ZbiĺÔa\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Automatick‚ vypnutˇ poźˇtaźe.lnk - f:\program files\Automatick‚ vypnutˇ poźˇtaźe\avp.exe [2004-12-28 443392]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [1.4.2007 15:04 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [1.4.2007 15:04 5248]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [8.7.2009 17:22 721904]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [4.4.2008 15:49 114768]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [11.6.2007 10:47 13696]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [21.7.2008 9:18 222968]
R4 WINFOXIO;WINFOXIO;c:\windows\system32\drivers\WINFOXIO.sys [17.6.2006 16:16 9600]
S0 AmdAcpi;AmdAcpi Bus Filter Driver;c:\windows\System32\DRIVERS\AmdAcpi.sys --> c:\windows\System32\DRIVERS\AmdAcpi.sys [?]
S0 ElbyVCD;ElbyVCD;c:\windows\System32\DRIVERS\ElbyVCD.sys --> c:\windows\System32\DRIVERS\ElbyVCD.sys [?]
S1 amdtools;AMD Special Tools Driver;c:\windows\System32\DRIVERS\amdtools.sys --> c:\windows\System32\DRIVERS\amdtools.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28.12.2009 12:53 38224]
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/skinit/icq/
uInternet Connection Wizard,ShellNext = iexplore
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Zbiňďa\Data aplikací\Mozilla\Firefox\Profiles\s3s5gpyk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://www.atlas.cz/?from=icqhp
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\documents and settings\Zbiňďa\Data aplikací\Mozilla\Firefox\Profiles\s3s5gpyk.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 21:17
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x862CD560]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74dbaac
\Driver\ACPI -> ACPI.sys @ 0xf7302740
\Driver\atapi -> atapi.sys @ 0xf72ad510
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
NDIS: NVIDIA nForce Networking Controller #2 -> SendCompleteHandler -> NDIS.sys @ 0xf71c6d84
PacketIndicateHandler -> NDIS.sys @ 0xf71d3480
SendHandler -> NDIS.sys @ 0xf71b4933
user & kernel MBR OK

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-861567501-2000478354-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:62,52,98,4e,9f,3f,67,11,7d,11,14,ef,82,a5,d1,46,00,e0,24,cb,12,fb,70,
a3,6c,17,87,d7,fb,17,dc,47,c1,de,9b,c1,7e,a5,aa,54,4c,9a,4b,9e,ff,59,4f,4c,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-861567501-2000478354-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:5a,7e,54,97,25,1e,d1,ab,27,be,01,d6,b3,e2,b8,c9,fd,21,44,49,e6,
9c,8d,d0,7d,2d,52,41,cd,be,af,61,0d,e0,d2,82,86,9b,71,2c,67,48,2a,9d,f2,18,\
"rkeysecu"=hex:72,54,bc,cd,6f,f8,43,1e,03,e7,b5,4c,37,57,81,d0
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(824)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3448)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Borland\InterBase\bin\ibguard.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Borland\InterBase\bin\ibserver.exe
c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
f:\program files\Automatické vypnutí počítače\avp.exe
c:\program files\Common Files\PCSuite\Services\ServiceLayer.exe
c:\progra~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
.
**************************************************************************
.
Celkový čas: 2009-12-28 21:19:36 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-12-28 20:19
ComboFix2.txt 2009-12-28 18:24
ComboFix3.txt 2009-12-28 16:06
ComboFix4.txt 2009-12-28 14:23

Před spuštěním: Volných bajtů: 60 702 003 200
Po spuštění: Volných bajtů: 60 671 709 184

- - End Of File - - F620A94629FC179F4DAA6722FBD6B0A2

[lelekdk]

tohle je pro to předchozí ... já aby v tom nebyl zmatek

[jan.svoboda]

Jasně, já taky začínám mít problém rozpoznat co je jaký log zač, musím všechno vždy číst znovu Takže teďkon odinstaluj virtual DEAMON manager V3.47 a stáhni SPTD jak jsem psal, přes který ho odinstaluješ. Po vyčištění PC si ho samozřejmě budeš moct znovu nainstalovat.

[lelekdk]

provedeno