Chybová hláška při pokusu dostat se na pevný disk

[malca]

Dobrý den,
mam v pocitaci dva disky a kdyz se chci na nejakej dostat, normalne otevru Tento pocitac, kliknu na disk a objevi se mi C:\resycled\boot.com není platná aplikace typu Win32. Na disk se tedy nedostanu. Nevíte nekdo prosim, cim by to mohlo byt? Dekuji

[LiveBomb]

Zkusil bych tohle

[Dony]

ze by autorun.inf a nakaza virem? Zkus pravym tlacitkem kliknout na disk a v menu dat prozkoumat, v rootu disku smaz autorun.inf a hlavne projed pocitac antivirem.

[joXerus]

dela mi to to samo
HiJackThis jsem zkusil ale nevyznam se v tom, a nic divnyho mi tam neprislo
mam zobrazovat skryte a autorun jsem na Dcku nenasel

[xxsawer]

Aaaa kuciii tak tohle je zajimavej smejd Taky jsem to mel...
1) Jak pise Dony prvni vec co udelej je, ze smaz autorun.inf určitě to budeš mít na C:\
Jak se dostanes rychle na C kdyz to pres Tento počítač nejde? Start - Spustit - Explorer
Dobry je jak se tenhle shit prenasi...normalne se to prenasi treba pres flashku. Na vsech diskach kde to jde mi to udelalo prave tenhle soubor autorun.inf + souvor boot.com v adr Resycled
2) Co dal tenhle smejd dela a ani si toho nevsimnes? Zmeni ti to DNS server na nejakej jinej a nejde to zmenit zpatky!!! Toho si ani nevsimnes dokud nebudes potrebovat pristupovat na nejakou IP ve vnitrni siti, coz samozrejme nebude fungovat...
3) Jak sem se toho zbavil? Smazani autorun.inf ani boot.com nepomuze protoze se to obnovi to stejny kdyz budes promazavat registry...
Na Viry.cz mi nekdo poradil tohle
http://www.download.com/Malwarebytes-An ... tag=button
Pust rychlej scan a nech smazat vsechno co to najde (neco bude nutny smazat po restartu tak to restartuj hned jak se te to zepta). Je mozny ze to budes muset pustit nekolikrat!!! Poustel sem to asi 3x vzdycky po restartu (proste se vzdycky cast obnovila nez se to umorilo )
Na konci az si budes jistej, ze to je pryc tak zkontroluj jestli mas spravnej DNS server a kdyztak ho zmen...

Mozna ti nekdo poradi neco jinyho, ale tohle mi fungovalo...

[joXerus]

mno tak nekolikrat jsem to tim projel
poprvy to naslo 3 dns changery tak je to smazlo, dns mam celou dobu ok, nod nic nenasel, restart, 2x rychly, nod a ted delam uplnou tim malwarem zase

tvari se to ze to je ready ale porad mi nejde kliknout na to Dcko, jde jen C
musim pravym na tu ikonu Dcka a prozkoumat

[xxsawer]

mne antivirak ani antispyware taky nic nenasel (pouzivam zonealarm)
Neni potreba uplnej scan tim mbamem, staci ten rychlej...
Ujisti se, ze na vsech diskach mas smazanej ten autorun.inf a resycled/boot.com - ma to nastaveny priznaky systemovy a skryty...
Jinak s tim, ze nejde kliknout na disk...to se nastavuje v registrech...nevim presne kde, ale sbal vsechny klice a dej vyhledat resycled nebo boot.com pak smaz vsechny klice kde to najdes. Mazal sem fakt vsechno takze i s nadklicem Open a Autoplay ve stejny urovni...

[jansv]

Ahoj, prvně sem vlož log z HijackThis (potřebuji ho vidět) a log z ComboFixu (též ho musím zkouknout). Zcela jistě se jedná o nakažení PC, a to není takový problém, a vyřeší se to. Ale prosím, nezkoušej různé programy na vlastní pěst - např. Malwarebytes' Anti-Malware, ... Tím si to, jestli tomu nerozumíš jako např. já, jenom zhoršíš, protože často např. tyto programy mají špatnou analýzu a tak smažeš třeba systémový soubor. A můžeš dělat formát. Proto je třeba jejich použití diskutovat s odborníkem na havěť.

Návod HijackThis:
Stáhni si HijackThis např. odtud - http://www.stahuj.centrum.cz/internet_a ... ijackthis/

Použití
1. Spusť program a stiskněte tlačítko "Do a system scan and save a log"
2. Celý obsah textového dokumentu, který po chvilce sám "vyskočí" sem vlož normálně do příspěvku a já Ti to zkontroluju, a poté uvidíme, co dále.


Návod ComboFix:
Vypněte Antivir, Anti-spyware a Firewall.
Stáhněte a uložte na plochu ComboFix.
Spusťte pod účtem s Administrátorským oprávněním, před spuštěním vypněte všechny aplikace včetně Antiviru a Firewallu.
Celá akce trvá okolo 10 minut, někdy i déle.
Nelekněte se, když Váš stroj bude restartován.
Po restartu aplikace vytvoří log, uložený na C:/Combofix.txt (Při opakovaném použití jsou logy označeny Combofix2.txt atd.), JEHO OBSAH SEM VLOŽTE.

[joXerus]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:14, on 12.1.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
D:\FFP\App\firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: lsass.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Port pro program Symantec Fax Starter Edition.lnk = C:\Program Files\Microsoft Office\Office\1029\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

--
End of file - 3359 bytes

[xxsawer]

log z hijackthis v tomhle pripade nic neresi, nemuze taky scanovat vsechno a moznosti zneuziti registru sou skoro neomezeny...
Smaz ty klice co sem ti rikal a je po problemech...

[zombux]

včera jsem viděl libovou nákazu, worm si upravil systémové soubory (user32.dll) aby se mohl nepozorovaně spustit. doporučil bych v nouzáku udělat sfc

[jansv]

Prosím, aby jste mi do tohoto případu nevstupovali. Díky. Vím co dělám. Ještě vlož log z ComboFixu. A user32.dll je dost často nakažená, ale to není problém vyřešit. Zítra na to mrknu, tedy pokuď bude user dbát na mě a dá mi sem ten log.

PS: Sorry za nepříjemnost ale já se virům věnuji a vím, co dělám.

[xxsawer]

to jansv:
to je jako joke?
Jelikoz sem si dotahnul tenhle "vir" na dva kompy tak bych rek, ze vim, jak se toho zbavit...
sorry jestli sem ti do toho vstoupil, uz sem psat nic nebudu

[LiveBomb]

Prosím, aby jste mi do tohoto případu nevstupovali.

To myslis jako vazne?

já se "něčemu" věnuji a vím, co dělám

Neco podobnyho si asi rikali i inzenyri a operatori v Černobilu.

Podle me, pokud si chces vedst svou "soukromou" konverzaci, tak na to je SZ.
Mam dojem, ze jsme tu na verejnem foru.

Pro Mody: Sorry za OT

[jansv]

Myslím. Nemám to na mysli jako urážku kohokoliv, ale jestli se user chce toho viru zbavit, je nutné kompletně vyčistit PC, ne smazat jeden klíč v rgeistrech. Nechci vést soukromou konverzaci přes SZ, chci pomoci userovi. Jinak by jsem sem asi ani nechodil a nepsal, kdyby jsem nevěděl, jak na to.

Takže sem vlož ještě log z ComboFixu, máš-li zájem se zbavit veškeré havěti bez reinstalu. Jestli ne, ignoruj mojí pomoc.

[aliencz]

Myslím. Nemám to na mysli jako urážku kohokoliv, ale jestli se user chce toho viru zbavit, je nutné kompletně vyčistit PC, ne smazat jeden klíč v rgeistrech. Nechci vést soukromou konverzaci přes SZ, chci pomoci userovi. Jinak by jsem sem asi ani nechodil a nepsal, kdyby jsem nevěděl, jak na to.

Takže sem vlož ještě log z ComboFixu, máš-li zájem se zbavit veškeré havěti bez reinstalu. Jestli ne, ignoruj mojí pomoc.

Nenech se zvyklat, děláš to dobře. Taky mě to zajímá.

[jansv]

Díky, konečně zase odpověděl někdo normální. Máš pravdu Mě taktéž zajímá i to, jestli tady pár nejlepších a nejchytřejších lidí, kteří nemají na práci více, nežli se hádat o věci, ve které nemají pravdu a nebude tu zbytečný OT.

PS: Proti Zombuxovi nic nemám, ten má vlastně pravdu a souhlasím s ním.

Je běžná změna knihoven např. user32.dll. A tu též odhalí ComboFix, ale ten je taky potřeba proto, protože tam 100%-ně bude i hafo infikovaných souborů. A ComboFix zobrazuje registry, změněné a nově vytvořené soubory. Takže odhalí hodně šmejdů. Přes něj se smázne to, co špatného najde a pak se to jen dočistí.

Pro MODy: Vím, že je to OT, ale chtěl jsem napsat svůj názor všem, kteří zde psali. Již v něm nebudu nijak pokračovat, odepíšu pouze, když bude chtít user pomoc. Takže to prosím nemažte, již to bude v pohodě. Taktéž nemám chuť se zde hádat. Ještě jednou sorry.

[joXerus]

no pristup na C: mi uz par dni funguje, D: mi zacalo fungovat nejak dneska
pro jistotu jsem udelal i ten combofix - sry za spam

Kód: Vybrat vše

ComboFix 09-01-11.04 - joX 2009-01-13 15:52:56.1 - NTFSx86
Systém Microsoft Windows XP Professional  5.1.2600.2.1250.1.1029.18.3327.2881 [GMT 1:00]
Spuštěný z: c:\documents and settings\joX\Plocha\ComboFix.exe
AV: Eset NOD32 Antivirus 2.51 *On-access scanning enabled* (Updated)
 * Vytvořen nový Bod Obnovení
 * Resident AV is active

.

(((((((((((((((((((((((((((((((((((((((   Ostatní výmazy   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\joX\Nabídka Start\Programy\Po spuštění\lsass.exe
c:\windows\system32\mdm.exe
D:\Autorun.inf
D:\resycled
d:\resycled\boot.com

.
(((((((((((((((((((((((((   Soubory vytvořené od 2008-12-13 do 2009-01-13  )))))))))))))))))))))))))))))))
.

2009-01-13 14:28 . 2009-01-13 14:28	<DIR>	d--------	c:\windows\Internet Logs
2009-01-13 14:28 . 2009-01-13 14:28	<DIR>	d--------	c:\program files\Common Files\Deterministic Networks
2009-01-13 14:28 . 2009-01-13 14:28	<DIR>	d--------	c:\program files\Cisco Systems
2009-01-13 14:28 . 2008-03-29 17:36	125,328	--a------	c:\windows\system32\drivers\dne2000.sys
2009-01-13 14:28 . 2008-03-29 17:36	106,768	--a------	c:\windows\system32\dneinobj.dll
2009-01-13 14:27 . 2009-01-13 14:28	1,594	--a------	c:\windows\VPNInstall.MIF
2009-01-13 14:20 . 2004-08-03 23:08	26,496	--a--c---	c:\windows\system32\dllcache\usbstor.sys
2009-01-13 14:11 . 2009-01-13 14:23	<DIR>	d--------	c:\documents and settings\joX\Data aplikací\VMware
2009-01-13 14:09 . 2009-01-13 15:49	<DIR>	d--------	c:\documents and settings\LocalService\Data aplikací\VMware
2009-01-13 14:09 . 2009-01-13 15:49	<DIR>	d--------	c:\documents and settings\LocalService\Data aplikací\VMware
2009-01-13 14:09 . 2009-01-13 15:49	<DIR>	d--------	c:\documents and settings\LocalService\Data aplikací\VMware
2009-01-13 14:08 . 2008-05-16 00:47	436,784	--a------	c:\windows\system32\vnetlib.dll
2009-01-13 14:08 . 2008-05-16 00:47	150,064	--a------	c:\windows\system32\vmnat.exe
2009-01-13 14:08 . 2008-05-16 00:46	121,392	--a------	c:\windows\system32\vmnetdhcp.exe
2009-01-13 14:08 . 2008-05-15 23:54	50,992	-ra------	c:\windows\system32\vmnetbridge.dll
2009-01-13 14:08 . 2008-05-15 23:54	28,592	-ra------	c:\windows\system32\drivers\vmnetbridge.sys
2009-01-13 14:08 . 2008-05-16 00:47	25,136	--a------	c:\windows\system32\drivers\vmnetuserif.sys
2009-01-13 14:08 . 2008-05-15 23:54	17,712	-ra------	c:\windows\system32\drivers\vmnet.sys
2009-01-13 14:08 . 2008-05-15 23:54	16,816	-ra------	c:\windows\system32\drivers\vmnetadapter.sys
2009-01-13 14:08 . 2008-05-15 23:54	13,104	-ra------	c:\windows\system32\vnetinst.dll
2009-01-13 14:07 . 2009-01-13 14:07	<DIR>	d--------	c:\program files\VMware
2009-01-13 14:07 . 2009-01-13 14:07	<DIR>	d--------	c:\program files\Common Files\VMware
2009-01-13 14:07 . 2009-01-13 15:49	<DIR>	d--------	c:\documents and settings\All Users\Data aplikací\VMware
2009-01-13 14:07 . 2008-05-16 00:47	20,912	--a------	c:\windows\system32\drivers\VMkbd.sys
2009-01-13 14:01 . 2009-01-13 14:01	<DIR>	d--------	c:\windows\system32\cs-cz
2009-01-13 14:01 . 2008-10-16 21:33	6,066,176	-----c---	c:\windows\system32\dllcache\ieframe.dll
2009-01-13 14:01 . 2007-04-17 10:32	2,455,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dat
2009-01-13 14:01 . 2007-03-08 06:09	1,024,000	-----c---	c:\windows\system32\dllcache\ieframe.dll.mui
2009-01-13 14:01 . 2008-10-16 21:33	459,264	-----c---	c:\windows\system32\dllcache\msfeeds.dll
2009-01-13 14:01 . 2008-10-16 21:33	383,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dll
2009-01-13 14:01 . 2008-10-16 21:33	267,776	-----c---	c:\windows\system32\dllcache\iertutil.dll
2009-01-13 14:01 . 2008-10-16 21:33	63,488	-----c---	c:\windows\system32\dllcache\icardie.dll
2009-01-13 14:01 . 2008-10-16 21:33	52,224	-----c---	c:\windows\system32\dllcache\msfeedsbs.dll
2009-01-13 14:01 . 2008-10-16 14:11	13,824	-----c---	c:\windows\system32\dllcache\ieudinit.exe
2009-01-13 01:16 . 2009-01-13 01:16	<DIR>	dr-h-----	c:\documents and settings\joX\Data aplikací\SecuROM
2009-01-13 01:14 . 2009-01-13 01:14	<DIR>	d--------	c:\windows\system32\LogFiles
2009-01-13 01:13 . 2009-01-13 01:13	<DIR>	d--------	c:\windows\system32\xlive
2009-01-13 01:13 . 2009-01-13 13:05	<DIR>	d--------	c:\program files\Microsoft Games for Windows - LIVE
2009-01-13 01:13 . 2008-03-05 15:56	3,786,760	--a------	c:\windows\system32\D3DX9_37.dll
2009-01-13 01:13 . 2008-03-05 15:56	1,420,824	--a------	c:\windows\system32\D3DCompiler_37.dll
2009-01-13 01:13 . 2008-02-05 23:07	462,864	--a------	c:\windows\system32\d3dx10_37.dll
2009-01-13 01:13 . 2007-04-04 18:53	81,768	--a------	c:\windows\system32\xinput1_3.dll
2009-01-13 00:47 . 2009-01-13 00:47	<DIR>	d--------	c:\program files\MSBuild
2009-01-13 00:45 . 2009-01-13 00:45	<DIR>	d--------	c:\windows\system32\XPSViewer
2009-01-13 00:45 . 2009-01-13 00:45	<DIR>	d--------	c:\program files\Reference Assemblies
2009-01-13 00:45 . 2006-06-29 13:07	14,048	---------	c:\windows\system32\spmsg2.dll
2009-01-13 00:44 . 2009-01-13 13:10	<DIR>	d--------	c:\program files\Rockstar Games
2009-01-12 23:38 . 2009-01-12 23:38	<DIR>	d--------	C:\DownLoad
2009-01-12 22:01 . 2009-01-12 22:01	<DIR>	d--------	c:\documents and settings\joX\Data aplikací\AdobeUM
2009-01-12 15:53 . 2009-01-12 15:53	<DIR>	d--------	c:\program files\Malwarebytes' Anti-Malware
2009-01-12 15:53 . 2009-01-12 15:53	<DIR>	d--------	c:\documents and settings\joX\Data aplikací\Malwarebytes
2009-01-12 15:53 . 2009-01-12 15:53	<DIR>	d--------	c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-01-12 15:53 . 2009-01-04 18:38	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-12 15:53 . 2009-01-04 18:38	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-01-12 13:29 . 2009-01-12 13:29	<DIR>	d--------	c:\program files\Common Files\Adobe
2009-01-12 12:53 . 2009-01-12 12:53	390	--a------	c:\windows\ODBC.INI
2009-01-12 12:53 . 2009-01-12 12:53	63	--a------	c:\windows\mdm.ini
2009-01-12 12:53 . 2009-01-12 12:53	0	--a------	c:\windows\NSREX.INI
2009-01-12 12:52 . 2009-01-12 12:52	<DIR>	d--------	c:\windows\system32\Viewers
2009-01-12 12:52 . 2009-01-12 12:52	<DIR>	d--------	c:\windows\ShellNew
2009-01-12 12:52 . 2009-01-12 12:52	<DIR>	d--------	c:\program files\Snapshot Viewer
2009-01-12 12:51 . 2009-01-12 12:51	<DIR>	d--------	c:\windows\Twain32
2009-01-12 12:51 . 2009-01-12 12:51	<DIR>	d--------	c:\documents and settings\joX\Data aplikací\Microsoft Web Folders
2009-01-12 12:49 . 2009-01-12 12:49	<DIR>	d--------	c:\program files\DAEMON Tools Toolbar
2009-01-12 12:49 . 2009-01-12 15:59	<DIR>	d--------	c:\program files\DAEMON Tools Lite
2009-01-12 12:48 . 2009-01-12 12:48	<DIR>	d--------	c:\documents and settings\joX\Data aplikací\DAEMON Tools
2009-01-12 12:48 . 2009-01-12 12:48	717,296	--a------	c:\windows\system32\drivers\sptd.sys
2009-01-12 11:53 . 2009-01-12 11:55	<DIR>	d--------	c:\documents and settings\joX\Data aplikací\Ventrilo
2009-01-12 11:52 . 2009-01-12 11:52	<DIR>	d--------	c:\program files\VentriloMIX
2009-01-11 21:17 . 2009-01-11 21:17	<DIR>	d--------	c:\program files\Codec Pack - All In 1
2009-01-11 21:17 . 2009-01-11 21:17	737,280	--a------	c:\windows\iun6002.exe
2009-01-11 13:57 . 2009-01-11 14:06	<DIR>	d--------	c:\windows\system32\CatRoot_bak
2009-01-11 13:56 . 2008-08-14 14:46	2,182,528	-----c---	c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-11 13:56 . 2008-08-14 14:46	2,138,112	-----c---	c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-11 13:56 . 2008-08-14 14:46	2,059,904	-----c---	c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-11 13:56 . 2008-08-14 14:46	2,017,792	-----c---	c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-11 13:56 . 2008-10-24 12:10	453,632	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2009-01-11 13:56 . 2008-06-14 19:00	272,128	---------	c:\windows\system32\drivers\bthport.sys
2009-01-11 13:56 . 2008-06-14 19:00	272,128	-----c---	c:\windows\system32\dllcache\bthport.sys
2009-01-11 13:22 . 2009-01-11 13:22	13,646	--a------	c:\windows\system32\wpa.bak
2009-01-11 11:08 . 2009-01-11 11:08	<DIR>	d--------	c:\windows\system32\Lang
2009-01-11 11:08 . 2009-01-11 11:08	940,794	--a------	c:\windows\system32\LoopyMusic.wav
2009-01-11 11:08 . 2009-01-11 11:08	146,650	--a------	c:\windows\system32\BuzzingBee.wav
2009-01-11 11:06 . 2004-08-17 15:49	130,048	--a------	c:\windows\system32\ksproxy.ax
2009-01-11 11:06 . 2004-08-17 15:49	130,048	--a--c---	c:\windows\system32\dllcache\ksproxy.ax
2009-01-11 11:06 . 2004-08-03 23:08	60,288	--a------	c:\windows\system32\drivers\drmk.sys
2009-01-11 11:06 . 2004-08-03 23:08	60,288	--a--c---	c:\windows\system32\dllcache\drmk.sys
2009-01-11 11:06 . 2006-10-16 16:10	23,856	--a------	c:\windows\system32\spupdsvc.exe
2009-01-11 11:06 . 2004-08-17 15:49	4,096	--a------	c:\windows\system32\ksuser.dll
2009-01-11 11:06 . 2004-08-17 15:49	4,096	--a--c---	c:\windows\system32\dllcache\ksuser.dll
2009-01-11 11:05 . 2005-05-03 18:43	69,632	--a------	c:\windows\Alcmtr.exe
2009-01-11 10:49 . 2009-01-11 10:49	<DIR>	d--------	c:\program files\Trend Micro

.
((((((((((((((((((((((((((((((((((((((((   Find3M výpis   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 12:10	---------	d--h--w	c:\program files\InstallShield Installation Information
2009-01-13 00:15	107,888	----a-w	c:\windows\system32\CmdLineExt.dll
2009-01-12 11:51	---------	d-----w	c:\program files\microsoft frontpage
2009-01-11 10:05	---------	d-----w	c:\program files\Realtek
2009-01-10 23:53	86,016	----a-w	c:\windows\system32\OpenAL32.dll
2009-01-10 23:53	262,144	----a-w	c:\windows\system32\wrap_oal.dll
2009-01-10 23:51	---------	d-----w	c:\program files\Futuremark
2009-01-10 23:47	---------	d-----w	c:\program files\Winamp
2009-01-10 23:37	---------	d-----w	c:\program files\QIP
2009-01-10 23:21	---------	d-----w	c:\program files\Eset
2009-01-10 23:12	502,368	----a-w	c:\windows\system32\drivers\amon.sys
2009-01-10 23:12	270,336	----a-w	c:\windows\system32\imon.dll
2009-01-10 23:04	---------	d-----w	c:\program files\ATI
2009-01-10 23:03	---------	d-----w	c:\documents and settings\joX\Data aplikací\ATI
2009-01-10 23:03	---------	d-----w	c:\documents and settings\All Users\Data aplikací\ATI
2009-01-10 22:58	---------	d-----w	c:\program files\ATI Technologies
2009-01-10 22:56	---------	d-----w	c:\program files\Common Files\InstallShield
2009-01-10 22:55	---------	d-----w	c:\program files\Marvell
2009-01-10 22:55	---------	d-----w	c:\documents and settings\joX\Data aplikací\TMP
2009-01-10 22:54	315,392	----a-w	c:\windows\HideWin.exe
2009-01-10 22:51	---------	d-----w	c:\program files\Intel
2008-10-29 02:23	425,984	----a-w	c:\windows\system32\ATIDEMGX.dll
2008-10-29 02:22	314,880	----a-w	c:\windows\system32\ati2dvag.dll
2008-10-29 02:11	43,520	----a-w	c:\windows\system32\ati2edxx.dll
2008-10-29 02:11	26,112	----a-w	c:\windows\system32\Ati2mdxx.exe
2008-10-29 02:11	188,416	----a-w	c:\windows\system32\atipdlxx.dll
2008-10-29 02:11	147,456	----a-w	c:\windows\system32\Oemdspif.dll
2008-10-29 02:10	143,360	----a-w	c:\windows\system32\ati2evxx.dll
2008-10-29 02:10	10,973,184	----a-w	c:\windows\system32\atioglxx.dll
2008-10-29 02:09	585,728	----a-w	c:\windows\system32\ati2evxx.exe
2008-10-29 02:07	53,248	----a-w	c:\windows\system32\ATIDDC.DLL
2008-10-29 01:57	4,041,472	----a-w	c:\windows\system32\ati3duag.dll
2008-10-29 01:49	307,200	----a-w	c:\windows\system32\atiiiexx.dll
2008-10-29 01:41	2,472,832	----a-w	c:\windows\system32\ativvaxx.dll
2008-10-29 01:25	48,640	----a-w	c:\windows\system32\amdpcom32.dll
2008-10-29 01:21	389,120	----a-w	c:\windows\system32\atikvmag.dll
2008-10-29 01:19	44,032	----a-w	c:\windows\system32\atiadlxx.dll
2008-10-29 01:19	17,408	----a-w	c:\windows\system32\atitvo32.dll
2008-10-29 01:18	253,952	----a-w	c:\windows\system32\atiok3x2.dll
2008-10-29 01:12	577,536	----a-w	c:\windows\system32\ati2cqag.dll
2008-10-28 20:05	593,920	------w	c:\windows\system32\ati2sgag.exe
2008-10-28 16:41	14,303,392	----a-w	c:\windows\system32\xlive.dll
2008-10-28 16:41	13,643,936	----a-w	c:\windows\system32\xlivefnt.dll
2008-10-23 13:01	283,648	----a-w	c:\windows\system32\gdi32.dll
2008-10-21 17:51	118,784	----a-w	c:\windows\system32\atibrtmon.exe
2008-10-21 16:40	81,920	----a-w	c:\windows\system32\ATIODE.exe
2008-10-21 16:40	45,056	----a-w	c:\windows\system32\ATIODCLI.exe
2008-10-16 20:33	826,368	----a-w	c:\windows\system32\wininet.dll
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2006-06-23 13:48	32,768	----a-w	c:\windows\inf\UpdateUSB.exe
1999-04-07 20:39	99,840	----a-w	c:\program files\Common Files\IRAABOUT.DLL
1998-12-09 05:53	70,144	----a-w	c:\program files\Common Files\IRAMDMTR.DLL
1998-12-09 05:53	48,640	----a-w	c:\program files\Common Files\IRALPTTR.DLL
1998-12-09 05:53	31,744	----a-w	c:\program files\Common Files\IRAWEBTR.DLL
1998-12-09 05:53	186,368	----a-w	c:\program files\Common Files\IRAREG.DLL
1998-12-09 05:53	17,920	----a-w	c:\program files\Common Files\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((((   Spouštěcí body v registru   )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"QIP2005"="c:\program files\QIP\qip.exe" [2008-12-09 3259392]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"RGSC"="c:\program files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe" [2009-01-13 306088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-01-11 917504]
"VMware hqtray"="c:\program files\VMware\VMware Player\hqtray.exe" [2008-05-16 55856]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-18 65588]
Port pro program Symantec Fax Starter Edition.lnk - c:\program files\Microsoft Office\Office\1029\OLFSNT40.EXE [1999-04-07 46080]
VPN Client.lnk - c:\windows\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico [2009-01-13 6144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\QIP\\qip.exe"=
"d:\\sdc201\\StrongDC.exe"=
"c:\\Program Files\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2007-06-15 143256]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2006-03-02 69120]
S3 ALSysIO;ALSysIO;\??\c:\docume~1\joX\LOCALS~1\Temp\ALSysIO.sys --> c:\docume~1\joX\LOCALS~1\Temp\ALSysIO.sys [?]
S3 cpuz130;cpuz130;\??\c:\docume~1\joX\LOCALS~1\Temp\cpuz130\cpuz_x32.sys --> c:\docume~1\joX\LOCALS~1\Temp\cpuz130\cpuz_x32.sys [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
LSP: imon.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 15:53:32
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ... 

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ... 

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-2025429265-861567501-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:10,ad,96,57,60,78,eb,89,2c,35,fb,1f,27,2c,22,20,67,a9,59,29,0f,
   20,12,4d,60,2c,27,63,79,5e,e4,ec,58,d0,d8,c9,e7,b1,0f,6f,32,c2,91,f7,28,a4,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1480)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1536)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Celkový čas: 2009-01-13 15:54:02
ComboFix-quarantined-files.txt  2009-01-13 14:54:00

Před spuštěním: Volných bajtů: 119 590 932 480
Po spuštění: Volných bajtů: 119,654,645,760

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

252	--- E O F ---	2009-01-13 13:19:57

[jansv]

Log je určitě třeba, na první pohled je vidět, že doškolo ke smazání několika šmejdů. Jo a příště prosím log nevkládej do Kód, špatně se to čte... díky.

Na nakažený soubor user32.dll to nevypadá, takže to ani nebude tak vážný.
Zapni zobrazování skrytých souborů a složek a smaž v Normálním režimu, popř. Nouzovém režimu tento soubor:

c:\windows\iun6002.exe

Vlož sem ještě log z GMERu a SDFixu.

GMER - návod:
Dle stránky http://viry.cz/forum/viewtopic.php?f=29&t=62878 sem vlož dva logy. Nejprve ten malý log a poté, po zatrhnutí všech fajfek log z hlavního skenu.

SDFix - návod (citace):
-stahnete SDFix a ulozte jej na plochu
-spustte stazeny exe soubor, ten si vybali soubory do vami zadefinovaneho adresare
-restartujte pocitac do nouzoveho rezimu (pri restartu mackejte klavesu F8, pote zvolte z nabidky Stav nouze; pote chvili vyckejte, otevre se vam potvrzovaci okno s nabidkou spusteni zvlastniho diagnostickeho rezimu, ktere potvrdte OK), otevrete vyse zmineny adresar a spustte aplikaci RunThis.bat, cimz se odstartuje skript; v dalsim screenu potvrdte klavesou Yes
-probehne sken, po jeho ukonceni budete vyzvani ke stisku jakekoli klavesy k restartu windows
-po restartu probehne jeste jeden sken, po jehoz ukonceni bude zobrazeno hlaseni Finished, stisknete opet nejakou klavesu k ukonceni a startu windows
-pote se vam zobrazi log z SDFixu v samostatnem okne, ulozeny v adresari s SDFixem, nazvany Report.txt; jeho obsah sem vlozte

[xxsawer]

Tenhle prispevek sem postuju jenom pro ty kdo budou mit v budoucnu stejnej problem, tak aby to tady bylo komplet...

Jedna se o trojan/virus kterej neni detekovanej antivirem (aspon zonealarm ho nedetekuje).
Kde se k tomu dostanete? Treba tady http://loweimages.com
POZOR, upozornuju, ze cokoli z teto stranky stahnete obsahuje zminenej trojan, tvari se to jako instalatory, ale uz jenom samotny spusteni "instalatoru" bez toho aniz byste neco nainstalovali = infikovani kompu
Co se stane? Na vsechny dostupny disky to zapise soubor autorun.inf a resycled\boot.com nebo resycled\ntldr.com nebo ruzny varianty. Dalsi soubory si to uklada ruzne do tempu odkud se tyto soubory obnovuji pokud je smazete...
Co tenhle shit dela? Urcite toho bude vic...jedna z verzi dela to, ze zmeni DNS server na nejaky jiny...to se da treba pouzit na sledovani jaky stranky navstivite atd atd. Dalsi castej priznak je, ze se "nejde dostat na disk". Hlasi to chybu typu "C:\resycled\boot.com není platná aplikace typu Win32" Misto boot.com tam muze byt treba vyse zminene ntldr.com nebo nejaka modifikace...
Jak se toho zbavit? Bez ohledu na to co tady psal jansv tak doporucuju Malwarebytes Anti-Malware v soucasnosti se da stahnout tady:
http://www.download.com/Malwarebytes-An ... tag=button
Doporucuju ho nejdriv vyupdatovat a pak provest Rychly scan. Nema smysl poustet uplny scan, v tomto pripade to nic novyho neprinese...Nechte smazat vsechno co najde + to bude chtit restart. Po restartu doporucuju znovu pustit tenhle program a znovu provest rychly scan, pokud to nic nenajde, podivejte se do korenovych adresaru na vsechny disky a pripadne smazte vyse zminene soubory (vetsinou tam zbyde prave autorun.inf coz je jenom textovy soubor). Pokud se vam nedari dostat na disk, kliknete na nej pravym tl a dejte prozkoumat...
autorun.inf a adersar resycled jsou nastaveny jako skryty a systemovy takze si je musite nejdriv dat zobrazit
Jak se dostat na disk?
Cesta k boot.com se nachazi v registrech, takze ji budete muset odstranit tam.
Start -> spustit -> regedit
Ctrl + F a dejte vyhledat soubor ktery je uvedeny v chybove hlasce takze napr ten boot.com. Najde vam to nekolik vyskytu (klavesou F3 vzdycky pokracujete v hledani), konkretni priklad:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c15b1e2a-3cd6-11dd-8181-806d6172696f}\Shell\AutoRun\command (cislo ve slozenych zavorkach se bude lisit)
kde je klic s touto hodnotou C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\ntldr.com c:
Smazte ne jenom samotnej klic ale celou "slozku" AutoRun, samozrejme kdyz tam bude misto autorun "Open" tak smazte Open
Nakonec jeste poznamka jak se to muze jednoduse sirit: trojan prochazi vsechny pripojeny sidkovy jednotky a kontroluje jestli na nich jsou vyse uvedeny soubory, pokud ne tak je tam nakopiruje. Takze staci abyste pripojili flashku a mate to na ni. Pak ji kopnete do jinyho compu a pres autorun (pokud ho mate na tom kompu povolenej) to pekne roznesete dal...

Tot vse