services.exe odesílá data na cizí IP

Problematika virů a antivirů, zabezpečení PC - firewall, spyware, atd.
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

services.exe odesílá data na cizí IP

Příspěvek od ravie »

Prosím o radu,
omlouvám se, pokud tenhle problém už je tady řešen, ale v současném stavu nejsem schopen prohledávat (viz níže)
dnes jsem zjistil, že mám ZOUFALE pomalý internet (připojení 4Mbit, ale stránky se načítají rychlostí modemu), a asi tak 50% stránek se neotevře vůbec (vyzkoušeny různé prohlížeče) - třeba avg.com, update.microsoft.com, ...přičemž Firefox napíše, že server existuje, ale nepodařilo se k němu připojit.
Tak jsem si stáhl Network traffic monitor a zjistil, že kromě svchost.exe, který se připojuje do mého POP3 účtu, tam běží services.exe, který se rozhodně nefláká, a posílá data na neznámé servery, a to na desítky. Protože se mi povedlo vystopovat jediný z nich (email.acconline.com), předpokládám, že to asi rozesílá spam.
Projel jsem AVG, Symantecem online, a kromě nějakých drobností, které jsem odstranil, už to nenašlo nic. Dál jsem vyzkoušel Ad-Aware 2008, nenašlo nic, a přikládám log z HijackThis (níže).
Předpokládám trojana nebo červa, protože AVG mi v průběhu posledních dní hlásilo tyto v sytémové složce (a také v SystemVolumeInformation, která je ale prázdná, protože mám nástroj pro obnovu vypnutý).
Prosím o radu, jak se zbavit toho rozesílače dat (pokud možno jinak než reinstalací).
Díky :)

Logfile of HijackThis v1.99.1
Scan saved at 16:25:38, on 27.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Scrapbook Factory Deluxe 4.0\ReminderApp.exe
C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Util\CooL Wallpaper Changer\coolwpc.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Util\SpeedFan\speedfan.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\DVBViewer\Scheduler.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Network Traffic Monitor\NETMON.EXE
C:\Program Files\Ad-Aware\aawservice.exe
C:\Util\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: (no name) - {A693A5AB-BDBA-4AE7-A1C8-E41FEE1C020B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [TClockEx] C:\Util\TClockEx\TCLOCKEX.EXE
O4 - HKCU\..\Run: [CooLWPC3] C:\Util\CooL Wallpaper Changer\coolwpc.exe /boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Startup: SpeedFan.lnk = C:\Util\SpeedFan\speedfan.exe
O4 - Startup: Total Commander.lnk = C:\Program Files\totalcmd\TOTALCMD.EXE
O4 - Startup: Zástupce - CZDCPlusPlus.lnk = C:\Util\CZ\CZDCPlusPlus.exe
O4 - Startup: Zástupce - daemon.lnk = C:\Program Files\DAEMON Tools\daemon.exe
O4 - Startup: Zástupce - Scheduler.lnk = C:\Program Files\DVBViewer\Scheduler.exe
O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ ... /CTPID.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Ad-Aware\aawservice.exe
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CbEvtSvc - Unknown owner - C:\WINDOWS\System32\CbEvtSvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag Service (tuneup.defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (tuneup.programstatisticssvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

Ahoj, vlož ještě log z ComboFixu.

Návod (citace):
Stáhněte a uložte na plochu ComboFix.
Spusťte pod účtem s Administrátorským oprávněním, před spuštěním vypněte všechny aplikace včetně Antiviru a Firewallu.
Celá akce trvá okolo 10 minut, někdy i déle.
Nelekněte se, když Váš stroj bude restartován.
Po restartu aplikace vytvoří log, uložený na C:/Combofix.txt (Při opakovaném použití jsou logy označeny Combofix2.txt atd.), JEHO OBSAH SEM VLOŽTE.
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

Re: services.exe odesílá data na cizí IP

Příspěvek od ravie »

Ahoj,
spustil jsem, log vytvořil, výpis níže.
Ještě jsem mezitím zkusil UnHackMe, ten pořád něco hlásí, o tom nevím co si myslet http://img514.imageshack.us/img514/6162 ... sd5.th.jpg
Mezitím mi AVG našlo trojana, tak jsem ho zrušil, ale někde se to asi pokaždé obnoví pod jiným názvem (posledně to byl aspimgr.exe)
Díky předem za radu.

ComboFix 08-12-26.03 - ML 2008-12-27 18:13:14.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.3582.3028 [GMT 1:00]
Spuštěný z: d:\001\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Microsoft Common
c:\program files\Microsoft Common\SVCHOST.del
c:\windows\g32.txt
c:\windows\OPTIONS\CABS\_desktop.ini
c:\windows\s32.txt
c:\windows\system32\BReWErS.dll
c:\windows\system32\digeste.dll
c:\windows\system32\drivers\npf.sys
c:\windows\system32\packet.dll
c:\windows\system32\shell31.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\system32\wpv081230262534.cpx
c:\windows\system32\wpv151230262430.cpx
c:\windows\system32\wpv671230332187.cpx
c:\windows\ws386.ini

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CBEVTSVC
-------\Legacy_FCI
-------\Legacy_NPF
-------\Legacy_tdssserv.sys
-------\Service_NPF
-------\Service_SysLibrary


((((((((((((((((((((((((( Soubory vytvořené od 2008-11-27 do 2008-12-27 )))))))))))))))))))))))))))))))
.

2008-12-27 17:34 . 2008-12-27 18:07 <DIR> d-------- c:\windows\RestoreSafeDeleted
2008-12-27 17:19 . 2008-12-27 17:20 <DIR> d-------- C:\RootkitNO
2008-12-27 17:17 . 2008-12-27 17:51 <DIR> d-------- c:\program files\UnHackMe
2008-12-27 17:17 . 2008-12-27 17:17 34,760 --a------ c:\windows\system32\drivers\Partizan.sys
2008-12-27 17:17 . 2008-12-27 17:17 32,480 --a------ c:\windows\system32\Partizan.exe
2008-12-27 17:17 . 2008-12-22 15:56 12,752 --a------ c:\windows\system32\drivers\UnHackMeDrv.sys
2008-12-27 17:17 . 2008-12-27 17:17 (2) -rahs-ot- c:\windows\winstart.bat
2008-12-27 17:16 . 2008-12-27 18:08 4,144 --a------ c:\windows\system32\PerfStringBackup.TMP
2008-12-27 16:02 . 2008-12-27 16:02 <DIR> d-------- c:\program files\Network Traffic Monitor
2008-12-27 16:02 . 2004-05-20 13:19 193,768 --a------ c:\windows\system32\csdnsapi.dll
2008-12-27 16:02 . 2004-05-20 13:19 165,088 --a------ c:\windows\system32\cswhoapi.dll
2008-12-27 16:02 . 2008-01-08 08:47 45,056 --a------ c:\windows\system32\SETHOOK.DLL
2008-12-27 14:35 . 2008-12-27 14:35 <DIR> d-------- c:\windows\system32\oobe
2008-12-27 14:35 . 2008-12-27 14:35 <DIR> d-------- c:\windows\srchasst
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\program files\TuneUp Utilities 2009
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\documents and settings\ML\Data aplikací\TuneUp Software
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\TuneUp Software
2008-12-27 14:28 . 2008-12-27 14:28 603,904 --a------ c:\windows\system32\TUProgSt.exe
2008-12-27 14:28 . 2008-12-27 14:28 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-27 14:28 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2008-12-27 14:27 . 2008-12-27 14:27 <DIR> d--hs---- c:\documents and settings\All Users\Data aplikací\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-27 13:16 . 2008-12-27 13:16 <DIR> d-------- c:\windows\LastGood.Tmp
2008-12-27 10:40 . 2008-12-27 11:37 60,416 --a------ c:\windows\system32\drivers\TDSSmqlt.sys
2008-12-27 10:23 . 2008-12-27 10:23 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\AVGTOOLBAR
2008-12-27 10:23 . 2008-12-27 10:23 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\AVGTOOLBAR
2008-12-27 10:23 . 2008-12-27 10:23 39,936 --a------ c:\windows\system32\config\systemprofile\Data aplikací\casino.exe
2008-12-27 10:23 . 2008-12-27 10:23 39,936 --a------ c:\windows\system32\config\systemprofile\Data aplikací\casino.exe
2008-12-27 10:22 . 2008-12-27 10:32 60,416 --a------ c:\windows\system32\drivers\TDSSmhlt.sys
2008-12-26 21:30 . 2008-12-27 18:17 93,420 --a------ c:\windows\system32\drivers\glaide32.sys
2008-12-26 21:27 . 2008-12-26 21:27 68,352 --a------ c:\windows\system32\CBEVTSVC.del
2008-12-26 21:27 . 2008-12-26 21:27 33,280 --a------ c:\windows\system32\CRYPTS.DLL.del
2008-12-26 11:37 . 2008-12-26 11:38 <DIR> d-------- c:\program files\Security Task Manager
2008-12-26 11:37 . 2008-12-26 11:38 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\SecTaskMan
2008-12-25 22:39 . 2008-12-26 10:28 <DIR> d-------- c:\program files\Ad-Aware
2008-12-25 22:38 . 2008-12-25 22:38 <DIR> d-------- c:\program files\Lavasoft
2008-12-11 16:33 . 2008-12-11 16:33 <DIR> d-------- c:\windows\Samsung
2008-12-11 16:33 . 2008-02-24 04:56 479,232 --a------ c:\windows\ssndii.exe
2008-12-11 16:33 . 2007-02-13 10:30 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-12-11 16:33 . 2007-02-13 10:29 21,776 --a------ c:\windows\system32\msxml2a.dll
2008-12-11 16:33 . 2007-03-05 09:09 11,502 --------- c:\windows\Dr. Printer Icon.ico
2008-12-11 16:28 . 2008-12-11 16:28 <DIR> d-------- c:\windows\system32\drivers\Samsung
2008-12-11 16:28 . 2008-12-11 16:28 <DIR> d-------- c:\program files\Samsung
2008-12-11 16:28 . 2007-02-09 02:21 151,552 --a------ c:\windows\system32\ml163sci.exe
2008-12-11 16:28 . 2007-02-09 02:21 65,536 --a------ c:\windows\system32\ml163sci.dll
2008-12-11 16:28 . 2007-03-05 09:11 41,984 --------- c:\windows\system32\drivers\DGIVECP.SYS
2008-12-11 16:28 . 2007-02-09 02:22 22,723 --a------ c:\windows\system32\ml163sl3.dll
2008-12-11 16:28 . 2007-02-09 02:22 520 --a------ c:\windows\system32\ml163sl3.smt
2008-12-11 16:17 . 2008-12-11 16:17 <DIR> d--h----- c:\documents and settings\All Users\Data aplikací\CanonIJScan
2008-12-11 16:16 . 2008-12-11 16:16 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-12-11 16:15 . 2008-12-11 16:15 <DIR> d--h----- c:\program files\CanonBJ
2008-12-11 16:15 . 2008-04-07 15:58 1,339,392 --a------ c:\windows\system32\CNQ2413C.DLL
2008-12-11 16:15 . 2008-05-02 10:13 585,728 --a------ c:\windows\system32\CNQ2413L.DLL
2008-12-11 16:15 . 2007-03-15 15:12 188,416 --a------ c:\windows\system32\CNQ2413O.DLL
2008-12-11 16:15 . 2008-04-07 15:58 98,304 --a------ c:\windows\system32\CNQ2413I.DLL
2008-12-08 17:59 . 2008-12-08 17:59 <DIR> d-------- c:\documents and settings\ML\WINDOWS
2008-12-08 17:59 . 1996-11-05 16:13 299,008 --a------ c:\windows\uninst.exe
2008-12-05 18:17 . 2008-12-27 10:21 <DIR> d--h----- C:\$AVG8.VAULT$
2008-11-28 17:34 . 2008-11-28 17:34 <DIR> d-------- c:\program files\DreamCatcher
2008-11-28 17:33 . 2003-03-15 23:15 90,112 --a------ c:\windows\unvise32.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-27 16:06 --------- d-----w c:\documents and settings\ML\Data aplikací\uTorrent
2008-12-27 09:21 --------- d-----w c:\program files\LogMeIn
2008-12-26 10:45 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-12-25 21:40 15,648 ----a-w c:\windows\system32\drivers\NSDriver.sys
2008-12-25 21:40 15,648 ----a-w c:\windows\system32\drivers\AWRTRD.sys
2008-12-25 21:40 12,960 ----a-w c:\windows\system32\drivers\AWRTPD.sys
2008-12-25 21:39 --------- d-----w c:\documents and settings\All Users\Data aplikací\Lavasoft
2008-12-20 13:19 --------- d-----w c:\documents and settings\All Users\Data aplikací\Codemasters
2008-12-18 19:00 --------- d-----w c:\documents and settings\ML\Data aplikací\Creative
2008-12-15 16:15 --------- d-----w c:\program files\Hewlett-Packard
2008-11-15 21:46 --------- d-----w c:\documents and settings\ML\Data aplikací\Skype
2008-11-15 15:58 --------- d-----w c:\documents and settings\ML\Data aplikací\skypePM
2008-11-15 15:32 --------- d-----w c:\documents and settings\All Users\Data aplikací\Microsoft Help
2008-11-12 13:54 6,188,320 ----a-w c:\windows\system32\drivers\nv4_mini.sys
2008-11-01 13:59 --------- d-----w c:\program files\PowerISO
2008-11-01 13:34 --------- d-----w c:\program files\MSBuild
2008-11-01 13:32 --------- d-----w c:\program files\Reference Assemblies
2008-10-29 19:00 319,488 ----a-w c:\windows\HideWin.exe
2008-10-29 19:00 --------- d-----w c:\program files\Realtek
2008-10-29 18:12 98,304 ----a-w c:\windows\DUMP9ff9.tmp
2008-10-28 10:42 --------- d-----w c:\program files\SystemRequirementsLab
2008-10-27 18:50 --------- d-----w c:\documents and settings\ML\Data aplikací\U3
2008-10-25 17:12 98,304 ----a-w c:\windows\DUMP9b46.tmp
2008-10-17 06:08 98,304 ----a-w c:\windows\DUMP9f8b.tmp
2008-06-27 19:00 21 ----a-w c:\documents and settings\All Users\Data aplikací\emopts.dat
2008-06-27 19:00 133 ---ha-w c:\documents and settings\All Users\Data aplikací\ML-acu.dat
2008-06-27 18:59 73 ---h--w c:\documents and settings\All Users\Data aplikací\acopts.dat
2008-06-27 18:59 142 ---h--w c:\documents and settings\All Users\Data aplikací\ML-acopts.dat
2008-05-11 10:51 22,328 ----a-w c:\documents and settings\ML\Data aplikací\PnkBstrK.sys
2008-01-04 17:58 32 ----a-w c:\documents and settings\All Users\Data aplikací\ezsid.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TClockEx"="c:\util\TClockEx\TCLOCKEX.EXE" [2000-03-09 89088]
"CooLWPC3"="c:\util\CooL Wallpaper Changer\coolwpc.exe" [2003-04-06 1008128]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"UnHackMe Monitor"="c:\program files\UnHackMe\hackmon.exe" [2008-12-22 231648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"Norton Ghost 9.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 63048]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-02-23 536576]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 c:\windows\system32\bthprops.cpl]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 c:\windows\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 c:\windows\SoundMan.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\ML\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-12-23 692224]
SpeedFan.lnk - c:\util\SpeedFan\speedfan.exe [2008-04-22 3287552]
Total Commander.lnk - c:\program files\totalcmd\TOTALCMD.EXE [2007-12-01 1074896]
Z stupce - CZDCPlusPlus.lnk - c:\util\CZ\CZDCPlusPlus.exe [2008-01-03 2416640]
Z stupce - daemon.lnk - c:\program files\DAEMON Tools\daemon.exe [2007-12-19 486856]
Z stupce - Scheduler.lnk - c:\program files\DVBViewer\Scheduler.exe [2007-12-03 229888]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Google Calendar Sync.lnk - c:\program files\Google\Google Calendar Sync\GoogleCalendarSync.exe [2008-10-02 546288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-17 20:03 87352 c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"vidc.divx32"= divxc32.dll
"vidc.divx32f"= divxc32f.dll
"msacm.l3radius"= l3codecp.acm
"msacm.divxa"= divxa32.acm
"msacm.PLCMg722"= PLCMg722.acm
"msacm.PLCMg728"= PLCMg728.acm
"msacm.PLCMg729A"= PLCMg729A.acm
"msacm.PLCMsiren"= PLCMsiren.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools\daemon.exe"
"swg"=c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"ICQ"="c:\program files\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AlcWzrd"=ALCWZRD.EXE
"BDRegion"=c:\program files\Cyberlink\Shared Files\brs.exe
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe"
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe"
"ReminderApp"=c:\program files\Scrapbook Factory Deluxe 4.0\ReminderApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [2004-07-29 138780]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-05-16 97928]
R1 Cinemsup;Cinemsup;c:\windows\system32\drivers\Cinemsup.sys [2002-07-19 6656]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [2004-07-29 46779]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};\??\c:\program files\CyberLink\PowerDVD\000.fcl [2007-11-03 00:12:32 41456]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};\??\c:\program files\CyberLink\PowerDVD8\000.fcl [2008-08-08 09:15:56 41456]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-05-16 231704]
R2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys [2008-02-28 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\windows\system32\drivers\LMIRfsDriver.sys [2008-06-26 47640]
R2 tuneup.programstatisticssvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2008-12-27 603904]
R3 FStarForce;FStarForce;c:\windows\system32\DRIVERS\FStarForce.sys [2008-11-01 9216]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-12-01 343040]
R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\DRIVERS\V0260Vid.sys [2007-12-25 178913]
S0 partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2008-12-27 34760]
S2 BT848;WinFast TV2000 XP WDM Video Capture;c:\windows\system32\drivers\wf2kvcap.sys [2007-12-01 75925]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys []
S2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [2007-12-01 36423]
S2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;c:\windows\system32\drivers\wf2kxbar.sys [2007-12-01 10005]
S3 FlyPCI;FlyPCI;\??\c:\windows\system32\drivers\FlyPCI.sys [2007-12-02 4134]
S4 LMIRfsClientNP;LMIRfsClientNP; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65634203-a576-11dc-8ae7-0013d37d1cd8}]
\shell\autorun\command - F:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65634204-a576-11dc-8ae7-0013d37d1cd8}]
\shell\autorun\command - I:\PainkillerSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de22e28b-7fdc-11dd-99b8-0013d37d1cd8}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - J:\system.exe
\Shell\Open\command - J:\system.exe
.
Obsah adresáře 'Naplánované úlohy'

2008-12-27 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 21:36]

2008-12-27 c:\windows\Tasks\CT 1 27-12-2008 20-00-00 Trapasy.job
- c:\program files\DVBViewer\Scheduler.exe [2006-02-01 22:13]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
HKLM-Run-Network Traffic Monitor - (no file)


.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\sysreqlab3.dll - c:\windows\Downloaded Program Files\sysreqlab_srl.dll
O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E}
hxxp://www.srtest.com/srl_bin/sysreqlab_srl.cab
c:\windows\Downloaded Program Files\sysreqlab.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 18:16:51
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tlntsvr]
"ImagePath"=""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\glaide32]
"ImagePath"="\??\c:\windows\system32\drivers\glaide32.sys"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(2032)
c:\windows\system32\LMIRfsClientNP.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Ad-Aware\aawservice.exe
c:\windows\system32\gearsec.exe
c:\program files\LogMeIn\x86\ramaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\windows\system32\rundll32.exe
c:\program files\Norton Ghost\Agent\PQV2iSvc.exe
c:\windows\system32\nvsvc32.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\windows\system32\oodag.exe
c:\windows\system32\snmp.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Common Files\Logitech\KhalShared\KHALMNPR.exe
c:\progra~1\UnHackMe\Unhackme.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\program files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Celkový čas: 2008-12-27 18:18:38 - počítač byl restartován
ComboFix-quarantined-files.txt 2008-12-27 17:18:35

Před spuštěním: Volných bajtů: 13 827 997 696
Po spuštění: Volných bajtů: 13,709,725,696

299
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

Příště ale prosím čti pozorně můj návod. ComboFix jsi měl dát na Plochu, to tolik nevadí, ale - citace:
před spuštěním vypněte všechny aplikace včetně Antiviru a Firewallu.

A AVG jsi nevypnul. Ale tak pro příště ho vypni. Naštěstí ale není třeba tento log dávat znovu.

Máš tam hafo šmejdů, takže s nimi zatočíme.


Nyní stahněte a spusťte
Stáhněte Malwarebytes' Anti-Malware - http://viry.cz/forum/viewtopic.php?f=29&t=67229
Dejte úplný sken C systém
Log sem, nic nemazat až po posouzení logu :!: :!:
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

Re: services.exe odesílá data na cizí IP

Příspěvek od ravie »

No já ho vypínal - zabíjel jsem přímo proces, ale pořád se to startovalo znovu :-o
S těma šmejdama ale docela zírám, nevidím tam nic podezřelého (a nemyslím že bych byl úplná lama :), to si na druhou stranu asi myslí všechny lamy :-D)
Výsledek skenu níže; teď je to vidět dobře, ale proč to jiné programy vůbec nenašly? A jak mám znepřístupnit System Volume Information?
Díky moc!




Malwarebytes' Anti-Malware 1.31
Verze databáze: 1550
Windows 5.1.2600 Service Pack 2

27.12.2008 19:48:06
mbam-log-2008-12-27 (19-48-00).txt

Typ skenu: Úplný sken (C:\|)
Objektu skenováno: 94760
Uplynulý cas: 26 minute(s), 24 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 13

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138468.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138469.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138471.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138472.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138473.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138476.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138477.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138478.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmhlt.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmqlt.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\glaide32.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\syssetub.dll (Trojan.Agent) -> No action taken.
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System36.jup (Spyware.OnLineGames) -> No action taken.
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

Super. Tak příště to AVG vypni přímo v programu, něco jako vypnutí rezidenční ochrany apod. Nemyslím si, že jsi lama, ale každý se učí. Já se bezpečnostní problematice také nevěnuji dlouho, jen asi rok?

A nyní k problému. Ono ComboFix našel ty šmejdy, ale při takto větším počtu je vhodné aplikovat ještě další skener. Co máš na F:, I:, J: ? Jsou to HDD, Flash disky, ... nebo co ?

Takže...

Dle návodu - http://www.viry.cz/forum/viewtopic.php?t=19832 - stáhni Avenger a postupuj v návodu podle bodu Manuální zapsání skriptu. Do bílého okna vlož tento skript (bez slova Kód):

Kód: Vybrat vše

Files to delete:
C:\WINDOWS\system32\drivers\TDSSmhlt.sys
C:\WINDOWS\system32\drivers\TDSSmqlt.sys
C:\WINDOWS\system32\drivers\glaide32.sys
C:\WINDOWS\system32\syssetub.dll
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System36.jup

Drivers to delete:
TDSSmhlt
TDSSmqlt
glaide32
Klikni na Execute, dále na Yes a proběhne restart PC. Po restartu sám vyskočí log, ten sem celý vlož.

Poté tyto soubory:

c:\windows\winstart.bat
c:\windows\system32\config\systemprofile\Data aplikací\casino.exe

Otestujte na VIRUSTOTAL

Návod prostý: Po načtení stránky klikněte na tlačítko Procházet, zkopírujte cestu k výše zmíněnému souboru a klikněte na tlačítko Odeslat soubor; dejte skenerům nějakých deset minut; výsledek sem vložte (Až se to dotestuje tak zkopírujte odkaz nahoře v prohlížečí a ten sem vložte). Pokud se Vám výsledky objeví okamžitě, bez testování, tak klikněte na Reanalyse file now.

Až to všechno uděláš, vlož sem nový log z ComboFix a z HijackThis.
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

Re: services.exe odesílá data na cizí IP

Příspěvek od ravie »

Ahoj ještě jednou,
moc díky.
Logy přikládám níže ze všech tří utilitek. Oba soubory jsem otestoval, winstart.bat je čistý a casino.exe asi ve čtyřech testovacích antivirech hodil podezření...předpokládám, že bych ho měl smazat, ale radši už nedělám nic, co nedostanu příkazem :-D.
Jinak symptomy (pomalý net) zmizely, ale...teď to projíždím Malwarebytes Antimalwarem znovu, a zase to něco našlo...:
Malwarebytes' Anti-Malware 1.31
Verze databáze: 1550
Windows 5.1.2600 Service Pack 2

27.12.2008 21:23:04
mbam-log-2008-12-27 (21-23-00).txt

Typ skenu: Úplný sken (C:\|)
Objektu skenováno: 94497
Uplynulý cas: 13 minute(s), 10 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 11

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138468.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138469.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138471.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138472.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138473.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138476.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138477.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP606\A0138478.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP611\A0139250.sys (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP611\A0139251.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8C39F97A-8A53-4399-9350-3C2A806ED9D3}\RP611\A0139252.sys (Trojan.TDSS) -> No action taken.

Musel jsem vyzkoušet několik způsobů, jak ten adresář zpřístupnit, Microsoftí KB samozřejmě nefungovalo (nakonec přes cacls) :-/, tak jsem je zrušil.


Jinak disky jsou mechanika, druhý HDD, flash, daemontoolsy, foťák...nic víc si nevzpomínám :)
Logy zde:

______________________________________________________________________
Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\drivers\TDSSmhlt.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\TDSSmqlt.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\glaide32.sys" deleted successfully.
File "C:\WINDOWS\system32\syssetub.dll" deleted successfully.
File "C:\Program Files\Common Files\Microsoft Shared\MSInfo\System36.jup" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSmhlt" not found!
Deletion of driver "TDSSmhlt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSmqlt" not found!
Deletion of driver "TDSSmqlt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "glaide32" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


_________________________________________________________________
HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 20:55:36, on 27.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Util\CooL Wallpaper Changer\coolwpc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Util\SpeedFan\speedfan.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Util\CZ\CZDCPlusPlus.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\DVBViewer\Scheduler.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\DVBViewer\DVBViewer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\BSplayer\bsplayer.exe
C:\Util\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [TClockEx] C:\Util\TClockEx\TCLOCKEX.EXE
O4 - HKCU\..\Run: [CooLWPC3] C:\Util\CooL Wallpaper Changer\coolwpc.exe /boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Startup: SpeedFan.lnk = C:\Util\SpeedFan\speedfan.exe
O4 - Startup: Total Commander.lnk = C:\Program Files\totalcmd\TOTALCMD.EXE
O4 - Startup: Zástupce - CZDCPlusPlus.lnk = C:\Util\CZ\CZDCPlusPlus.exe
O4 - Startup: Zástupce - daemon.lnk = C:\Program Files\DAEMON Tools\daemon.exe
O4 - Startup: Zástupce - Scheduler.lnk = C:\Program Files\DVBViewer\Scheduler.exe
O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ ... /CTPID.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Ad-Aware\aawservice.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: cisvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: ups - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

______________________________________________________________________--
No a ComboFix:
ComboFix 08-12-26.03 - ML 2008-12-27 20:58:10.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.3582.2944 [GMT 1:00]
Spuštěný z: c:\documents and settings\ML\Plocha\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2008-11-27 do 2008-12-27 )))))))))))))))))))))))))))))))
.

2008-12-27 19:14 . 2008-12-27 19:14 <DIR> d-------- c:\documents and settings\ML\Data aplikací\Malwarebytes
2008-12-27 19:14 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-27 19:13 . 2008-12-27 19:14 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-27 19:13 . 2008-12-27 19:13 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2008-12-27 19:13 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-27 18:25 . 2008-12-27 18:25 90 --a------ c:\windows\system32\Partizan.RRI
2008-12-27 17:34 . 2008-12-27 18:07 <DIR> d-------- c:\windows\RestoreSafeDeleted
2008-12-27 17:19 . 2008-12-27 17:20 <DIR> d-------- C:\RootkitNO
2008-12-27 17:17 . 2008-12-27 18:27 <DIR> d-------- c:\program files\UnHackMe
2008-12-27 17:17 . 2008-12-27 17:17 (2) -rahs-ot- c:\windows\winstart.bat
2008-12-27 17:16 . 2008-12-27 20:58 4,144 --a------ c:\windows\system32\PerfStringBackup.TMP
2008-12-27 16:02 . 2008-12-27 16:02 <DIR> d-------- c:\program files\Network Traffic Monitor
2008-12-27 16:02 . 2004-05-20 13:19 193,768 --a------ c:\windows\system32\csdnsapi.dll
2008-12-27 16:02 . 2004-05-20 13:19 165,088 --a------ c:\windows\system32\cswhoapi.dll
2008-12-27 16:02 . 2008-01-08 08:47 45,056 --a------ c:\windows\system32\SETHOOK.DLL
2008-12-27 14:35 . 2008-12-27 14:35 <DIR> d-------- c:\windows\system32\oobe
2008-12-27 14:35 . 2008-12-27 14:35 <DIR> d-------- c:\windows\srchasst
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\documents and settings\ML\Data aplikací\TuneUp Software
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\TuneUp Software
2008-12-27 14:27 . 2008-12-27 14:27 <DIR> d--hs---- c:\documents and settings\All Users\Data aplikací\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-27 10:23 . 2008-12-27 10:23 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\AVGTOOLBAR
2008-12-27 10:23 . 2008-12-27 10:23 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\AVGTOOLBAR
2008-12-27 10:23 . 2008-12-27 10:23 39,936 --a------ c:\windows\system32\config\systemprofile\Data aplikací\casino.exe
2008-12-27 10:23 . 2008-12-27 10:23 39,936 --a------ c:\windows\system32\config\systemprofile\Data aplikací\casino.exe
2008-12-26 21:27 . 2008-12-26 21:27 68,352 --a------ c:\windows\system32\CBEVTSVC.del
2008-12-26 21:27 . 2008-12-26 21:27 33,280 --a------ c:\windows\system32\CRYPTS.DLL.del
2008-12-26 11:37 . 2008-12-26 11:38 <DIR> d-------- c:\program files\Security Task Manager
2008-12-26 11:37 . 2008-12-26 11:38 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\SecTaskMan
2008-12-25 22:39 . 2008-12-26 10:28 <DIR> d-------- c:\program files\Ad-Aware
2008-12-25 22:38 . 2008-12-25 22:38 <DIR> d-------- c:\program files\Lavasoft
2008-12-11 16:33 . 2008-12-11 16:33 <DIR> d-------- c:\windows\Samsung
2008-12-11 16:33 . 2008-02-24 04:56 479,232 --a------ c:\windows\ssndii.exe
2008-12-11 16:33 . 2007-02-13 10:30 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-12-11 16:33 . 2007-02-13 10:29 21,776 --a------ c:\windows\system32\msxml2a.dll
2008-12-11 16:33 . 2007-03-05 09:09 11,502 --------- c:\windows\Dr. Printer Icon.ico
2008-12-11 16:28 . 2008-12-11 16:28 <DIR> d-------- c:\windows\system32\drivers\Samsung
2008-12-11 16:28 . 2008-12-11 16:28 <DIR> d-------- c:\program files\Samsung
2008-12-11 16:28 . 2007-02-09 02:21 151,552 --a------ c:\windows\system32\ml163sci.exe
2008-12-11 16:28 . 2007-02-09 02:21 65,536 --a------ c:\windows\system32\ml163sci.dll
2008-12-11 16:28 . 2007-03-05 09:11 41,984 --------- c:\windows\system32\drivers\DGIVECP.SYS
2008-12-11 16:28 . 2007-02-09 02:22 22,723 --a------ c:\windows\system32\ml163sl3.dll
2008-12-11 16:28 . 2007-02-09 02:22 520 --a------ c:\windows\system32\ml163sl3.smt
2008-12-11 16:17 . 2008-12-11 16:17 <DIR> d--h----- c:\documents and settings\All Users\Data aplikací\CanonIJScan
2008-12-11 16:16 . 2008-12-11 16:16 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-12-11 16:15 . 2008-12-11 16:15 <DIR> d--h----- c:\program files\CanonBJ
2008-12-11 16:15 . 2008-04-07 15:58 1,339,392 --a------ c:\windows\system32\CNQ2413C.DLL
2008-12-11 16:15 . 2008-05-02 10:13 585,728 --a------ c:\windows\system32\CNQ2413L.DLL
2008-12-11 16:15 . 2007-03-15 15:12 188,416 --a------ c:\windows\system32\CNQ2413O.DLL
2008-12-11 16:15 . 2008-04-07 15:58 98,304 --a------ c:\windows\system32\CNQ2413I.DLL
2008-12-08 17:59 . 2008-12-08 17:59 <DIR> d-------- c:\documents and settings\ML\WINDOWS
2008-12-08 17:59 . 1996-11-05 16:13 299,008 --a------ c:\windows\uninst.exe
2008-12-05 18:17 . 2008-12-27 20:54 <DIR> d--h----- C:\$AVG8.VAULT$
2008-11-28 17:34 . 2008-11-28 17:34 <DIR> d-------- c:\program files\DreamCatcher
2008-11-28 17:33 . 2003-03-15 23:15 90,112 --a------ c:\windows\unvise32.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-27 18:12 --------- d-----w c:\documents and settings\ML\Data aplikací\uTorrent
2008-12-27 09:21 --------- d-----w c:\program files\LogMeIn
2008-12-26 10:45 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-12-25 21:40 15,648 ----a-w c:\windows\system32\drivers\NSDriver.sys
2008-12-25 21:40 15,648 ----a-w c:\windows\system32\drivers\AWRTRD.sys
2008-12-25 21:40 12,960 ----a-w c:\windows\system32\drivers\AWRTPD.sys
2008-12-25 21:39 --------- d-----w c:\documents and settings\All Users\Data aplikací\Lavasoft
2008-12-20 13:19 --------- d-----w c:\documents and settings\All Users\Data aplikací\Codemasters
2008-12-18 19:00 --------- d-----w c:\documents and settings\ML\Data aplikací\Creative
2008-12-15 16:15 --------- d-----w c:\program files\Hewlett-Packard
2008-11-15 21:46 --------- d-----w c:\documents and settings\ML\Data aplikací\Skype
2008-11-15 15:58 --------- d-----w c:\documents and settings\ML\Data aplikací\skypePM
2008-11-15 15:32 --------- d-----w c:\documents and settings\All Users\Data aplikací\Microsoft Help
2008-11-12 12:45 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2008-11-01 13:34 --------- d-----w c:\program files\MSBuild
2008-11-01 13:32 --------- d-----w c:\program files\Reference Assemblies
2008-10-29 19:00 319,488 ----a-w c:\windows\HideWin.exe
2008-10-29 19:00 --------- d-----w c:\program files\Realtek
2008-10-29 18:12 98,304 ----a-w c:\windows\DUMP9ff9.tmp
2008-10-28 10:42 --------- d-----w c:\program files\SystemRequirementsLab
2008-10-27 18:50 --------- d-----w c:\documents and settings\ML\Data aplikací\U3
2008-10-27 09:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll
2008-10-27 09:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll
2008-10-27 09:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll
2008-10-27 09:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll
2008-10-25 17:12 98,304 ----a-w c:\windows\DUMP9b46.tmp
2008-10-17 19:03 87,352 ----a-w c:\windows\system32\LMIinit.dll
2008-10-17 19:03 83,288 ----a-w c:\windows\system32\LMIRfsClientNP.dll
2008-10-17 19:03 28,984 ----a-w c:\windows\system32\LMIport.dll
2008-10-17 19:03 23,736 ----a-w c:\windows\system32\lmimirr.dll
2008-10-17 19:03 10,040 ----a-w c:\windows\system32\lmimirr2.dll
2008-10-17 06:08 98,304 ----a-w c:\windows\DUMP9f8b.tmp
2008-10-13 08:56 70,936 ----a-w c:\windows\system32\PhysXLoader.dll
2008-10-10 03:52 452,440 ----a-w c:\windows\system32\d3dx10_40.dll
2008-10-10 03:52 4,379,984 ----a-w c:\windows\system32\D3DX9_40.dll
2008-10-10 03:52 2,036,576 ----a-w c:\windows\system32\D3DCompiler_40.dll
2008-10-09 17:42 505,128 ----a-w c:\windows\system32\msvcp71.dll
2008-10-09 17:42 353,576 ----a-w c:\windows\system32\msvcr71.dll
2008-10-09 17:17 29,480 ----a-w c:\windows\system32\msxml3a.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelTraditionalChinese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSwedish.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSpanish.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSimplifiedChinese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelPortugese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelKorean.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelJapanese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelGerman.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelFrench.dll
2008-10-07 08:13 288,024 ----a-w c:\windows\system32\PhysXCplUI.exe
2008-10-07 08:13 288,024 ----a-w c:\windows\system32\PhysXCompatCplUI.exe
2008-10-07 08:13 23,320 ----a-w c:\windows\system32\PhysXDevice.dll
2008-06-27 19:00 21 ----a-w c:\documents and settings\All Users\Data aplikací\emopts.dat
2008-06-27 19:00 133 ---ha-w c:\documents and settings\All Users\Data aplikací\ML-acu.dat
2008-06-27 18:59 73 ---h--w c:\documents and settings\All Users\Data aplikací\acopts.dat
2008-06-27 18:59 142 ---h--w c:\documents and settings\All Users\Data aplikací\ML-acopts.dat
2008-05-11 10:51 22,328 ----a-w c:\documents and settings\ML\Data aplikací\PnkBstrK.sys
2008-01-04 17:58 32 ----a-w c:\documents and settings\All Users\Data aplikací\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-12-27_18.18.16.03 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-27 19:53:50 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_768.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TClockEx"="c:\util\TClockEx\TCLOCKEX.EXE" [2000-03-09 89088]
"CooLWPC3"="c:\util\CooL Wallpaper Changer\coolwpc.exe" [2003-04-06 1008128]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"Norton Ghost 9.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 63048]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-02-23 536576]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 c:\windows\system32\bthprops.cpl]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 c:\windows\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 c:\windows\SoundMan.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\ML\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-12-23 692224]
SpeedFan.lnk - c:\util\SpeedFan\speedfan.exe [2008-04-22 3287552]
Total Commander.lnk - c:\program files\totalcmd\TOTALCMD.EXE [2007-12-01 1074896]
Z stupce - CZDCPlusPlus.lnk - c:\util\CZ\CZDCPlusPlus.exe [2008-01-03 2416640]
Z stupce - daemon.lnk - c:\program files\DAEMON Tools\daemon.exe [2007-12-19 486856]
Z stupce - Scheduler.lnk - c:\program files\DVBViewer\Scheduler.exe [2007-12-03 229888]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Google Calendar Sync.lnk - c:\program files\Google\Google Calendar Sync\GoogleCalendarSync.exe [2008-10-02 546288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-17 20:03 87352 c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"vidc.divx32"= divxc32.dll
"vidc.divx32f"= divxc32f.dll
"msacm.l3radius"= l3codecp.acm
"msacm.divxa"= divxa32.acm
"msacm.PLCMg722"= PLCMg722.acm
"msacm.PLCMg728"= PLCMg728.acm
"msacm.PLCMg729A"= PLCMg729A.acm
"msacm.PLCMsiren"= PLCMsiren.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools\daemon.exe"
"swg"=c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"ICQ"="c:\program files\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AlcWzrd"=ALCWZRD.EXE
"BDRegion"=c:\program files\Cyberlink\Shared Files\brs.exe
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe"
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe"
"ReminderApp"=c:\program files\Scrapbook Factory Deluxe 4.0\ReminderApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [2004-07-29 138780]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-05-16 97928]
R1 Cinemsup;Cinemsup;c:\windows\system32\drivers\Cinemsup.sys [2002-07-19 6656]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [2004-07-29 46779]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};\??\c:\program files\CyberLink\PowerDVD\000.fcl [2007-11-03 00:12:32 41456]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};\??\c:\program files\CyberLink\PowerDVD8\000.fcl [2008-08-08 09:15:56 41456]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-05-16 231704]
R2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys [2008-02-28 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\windows\system32\drivers\LMIRfsDriver.sys [2008-06-26 47640]
R3 FStarForce;FStarForce;c:\windows\system32\DRIVERS\FStarForce.sys [2008-11-01 9216]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-12-01 343040]
R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\DRIVERS\V0260Vid.sys [2007-12-25 178913]
S2 BT848;WinFast TV2000 XP WDM Video Capture;c:\windows\system32\drivers\wf2kvcap.sys [2007-12-01 75925]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys []
S2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [2007-12-01 36423]
S2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;c:\windows\system32\drivers\wf2kxbar.sys [2007-12-01 10005]
S3 FlyPCI;FlyPCI;\??\c:\windows\system32\drivers\FlyPCI.sys [2007-12-02 4134]
S4 LMIRfsClientNP;LMIRfsClientNP; []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de22e28b-7fdc-11dd-99b8-0013d37d1cd8}]
\shell\autorun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\shell\explore\command - K:\system.exe
\shell\open\command - K:\system.exe
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\sysreqlab3.dll - c:\windows\Downloaded Program Files\sysreqlab_srl.dll
O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E}
hxxp://www.srtest.com/srl_bin/sysreqlab_srl.cab
c:\windows\Downloaded Program Files\sysreqlab.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 20:59:22
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\tlntsvr]
"ImagePath"=""

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1980)
c:\windows\system32\avgrsstx.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll

- - - - - - - > 'lsass.exe'(260)
c:\windows\system32\avgrsstx.dll
.
Celkový čas: 2008-12-27 20:59:55
ComboFix-quarantined-files.txt 2008-12-27 19:59:44
ComboFix2.txt 2008-12-27 17:18:39

Před spuštěním: Volných bajtů: 13 735 854 080
Po spuštění: Volných bajtů: 13,719,437,312

258
Naposledy upravil(a) ravie dne sob 27. pro 2008, 22:36, celkem upraveno 1 x.
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

OK. Ano, ten soubor casino.exe smaž, když nepůjde ručně, vezmeme ho Avengerem.

Ty šmejdy z System Volume Information odstraň tak, že vypni Obnovu systému, restartuj PC a zase ji zapni. A zmizí.

ComboFix se mi stále nelíbí. Zapoj do PC všechny USB klíče (Flash disk, MP3 přerávač, externí HDD, ...) a ještě jednou aplikuj ComboFix. Tím zjistíme, jestli USB klíče také nejsou nakaženy. Ale již jsme na dobré cestě, vyhlídky jsou dobré. Poté domažeme případné zbytky havěti dle logu z ComboFixu a dočistíme problémy v HijackThis. Potom ještě provedeme závěrečnou kontrolu a bye bye.
Naposledy upravil(a) jansv dne sob 27. pro 2008, 23:23, celkem upraveno 1 x.
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

Re: services.exe odesílá data na cizí IP

Příspěvek od ravie »

Smazal jsem Casino a odstranil System volume info binec, chvíli trvalo, než se mi podařilo do té složky dostat, musel jsem vyzkoušet několik způsobů, jak ten adresář zpřístupnit, Microsoftí KB samozřejmě nefungovalo (nakonec přes cacls) :-/, tak jsem je zrušil - stejně to radši budu mít přístupný, rád si do věcí vidím.
Zítra zapojím i ostatní disky a spustím Combofix, je toho hodně, takže dneska už bych to do večerky nestihl :).
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

Jasně, zapoj hlavně Foták, MP3, ... a po zapojení až spusť normálně ComboFix.

Tak já taky pomalu půjdu, ještě jsem před chvilkou dodělával opravdu DVD-RW takže už jsem docela unavenej. Zítra to snad doděláme už do konce.
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

Re: services.exe odesílá data na cizí IP

Příspěvek od ravie »

Ahoj,
zapojil jsem disk, zformátoval flashky, vymazal kartu foťáku, spustil ComboFix. Ještě jsem to projel i AntiMalwarem, nenašlo to nic, tady je log z CF - akorát je tam všude C:, je třeba nahrát ho fyzicky na další disky a spustit odtam :-o?
Díky moc!

ComboFix 08-12-26.03 - ML 2008-12-28 9:54:31.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.3582.3025 [GMT 1:00]
Spuštěný z: c:\documents and settings\ML\Plocha\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2008-11-28 do 2008-12-28 )))))))))))))))))))))))))))))))
.

2008-12-27 21:18 . 2008-12-27 21:18 <DIR> d-------- c:\program files\WinPcap
2008-12-27 19:14 . 2008-12-27 19:14 <DIR> d-------- c:\documents and settings\ML\Data aplikací\Malwarebytes
2008-12-27 19:14 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-27 19:13 . 2008-12-27 19:14 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-27 19:13 . 2008-12-27 19:13 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2008-12-27 19:13 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-27 18:25 . 2008-12-27 18:25 90 --a------ c:\windows\system32\Partizan.RRI
2008-12-27 17:34 . 2008-12-27 18:07 <DIR> d-------- c:\windows\RestoreSafeDeleted
2008-12-27 17:17 . 2008-12-27 18:27 <DIR> d-------- c:\program files\UnHackMe
2008-12-27 17:17 . 2008-12-27 17:17 (2) -rahs-ot- c:\windows\winstart.bat
2008-12-27 17:16 . 2008-12-27 20:58 4,144 --a------ c:\windows\system32\PerfStringBackup.TMP
2008-12-27 16:02 . 2008-12-27 21:18 <DIR> d-------- c:\program files\Network Traffic Monitor
2008-12-27 16:02 . 2004-05-20 13:19 193,768 --a------ c:\windows\system32\csdnsapi.dll
2008-12-27 16:02 . 2004-05-20 13:19 165,088 --a------ c:\windows\system32\cswhoapi.dll
2008-12-27 16:02 . 2008-01-08 08:47 45,056 --a------ c:\windows\system32\SETHOOK.DLL
2008-12-27 14:35 . 2008-12-27 14:35 <DIR> d-------- c:\windows\system32\oobe
2008-12-27 14:35 . 2008-12-27 14:35 <DIR> d-------- c:\windows\srchasst
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\documents and settings\ML\Data aplikací\TuneUp Software
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\TuneUp Software
2008-12-27 14:27 . 2008-12-27 14:27 <DIR> d--hs---- c:\documents and settings\All Users\Data aplikací\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-27 10:23 . 2008-12-27 10:23 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\AVGTOOLBAR
2008-12-27 10:23 . 2008-12-27 10:23 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\AVGTOOLBAR
2008-12-26 21:27 . 2008-12-26 21:27 68,352 --a------ c:\windows\system32\CBEVTSVC.del
2008-12-26 21:27 . 2008-12-26 21:27 33,280 --a------ c:\windows\system32\CRYPTS.DLL.del
2008-12-26 11:37 . 2008-12-26 11:38 <DIR> d-------- c:\program files\Security Task Manager
2008-12-26 11:37 . 2008-12-26 11:38 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\SecTaskMan
2008-12-25 22:39 . 2008-12-26 10:28 <DIR> d-------- c:\program files\Ad-Aware
2008-12-25 22:38 . 2008-12-25 22:38 <DIR> d-------- c:\program files\Lavasoft
2008-12-11 16:33 . 2008-12-11 16:33 <DIR> d-------- c:\windows\Samsung
2008-12-11 16:33 . 2008-02-24 04:56 479,232 --a------ c:\windows\ssndii.exe
2008-12-11 16:33 . 2007-02-13 10:30 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-12-11 16:33 . 2007-02-13 10:29 21,776 --a------ c:\windows\system32\msxml2a.dll
2008-12-11 16:33 . 2007-03-05 09:09 11,502 --------- c:\windows\Dr. Printer Icon.ico
2008-12-11 16:28 . 2008-12-11 16:28 <DIR> d-------- c:\windows\system32\drivers\Samsung
2008-12-11 16:28 . 2008-12-11 16:28 <DIR> d-------- c:\program files\Samsung
2008-12-11 16:28 . 2007-02-09 02:21 151,552 --a------ c:\windows\system32\ml163sci.exe
2008-12-11 16:28 . 2007-02-09 02:21 65,536 --a------ c:\windows\system32\ml163sci.dll
2008-12-11 16:28 . 2007-03-05 09:11 41,984 --------- c:\windows\system32\drivers\DGIVECP.SYS
2008-12-11 16:28 . 2007-02-09 02:22 22,723 --a------ c:\windows\system32\ml163sl3.dll
2008-12-11 16:28 . 2007-02-09 02:22 520 --a------ c:\windows\system32\ml163sl3.smt
2008-12-11 16:17 . 2008-12-11 16:17 <DIR> d--h----- c:\documents and settings\All Users\Data aplikací\CanonIJScan
2008-12-11 16:16 . 2008-12-11 16:16 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-12-11 16:15 . 2008-12-11 16:15 <DIR> d--h----- c:\program files\CanonBJ
2008-12-11 16:15 . 2008-04-07 15:58 1,339,392 --a------ c:\windows\system32\CNQ2413C.DLL
2008-12-11 16:15 . 2008-05-02 10:13 585,728 --a------ c:\windows\system32\CNQ2413L.DLL
2008-12-11 16:15 . 2007-03-15 15:12 188,416 --a------ c:\windows\system32\CNQ2413O.DLL
2008-12-11 16:15 . 2008-04-07 15:58 98,304 --a------ c:\windows\system32\CNQ2413I.DLL
2008-12-08 17:59 . 2008-12-08 17:59 <DIR> d-------- c:\documents and settings\ML\WINDOWS
2008-12-08 17:59 . 1996-11-05 16:13 299,008 --a------ c:\windows\uninst.exe
2008-12-05 18:17 . 2008-12-27 20:54 <DIR> d--h----- C:\$AVG8.VAULT$
2008-11-28 17:34 . 2008-11-28 17:34 <DIR> d-------- c:\program files\DreamCatcher
2008-11-28 17:33 . 2003-03-15 23:15 90,112 --a------ c:\windows\unvise32.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-27 23:11 --------- d-----w c:\program files\LogMeIn
2008-12-27 22:19 --------- d-----w c:\documents and settings\ML\Data aplikací\DAEMON Tools
2008-12-27 18:12 --------- d-----w c:\documents and settings\ML\Data aplikací\uTorrent
2008-12-26 10:45 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-12-25 21:40 15,648 ----a-w c:\windows\system32\drivers\NSDriver.sys
2008-12-25 21:40 15,648 ----a-w c:\windows\system32\drivers\AWRTRD.sys
2008-12-25 21:40 12,960 ----a-w c:\windows\system32\drivers\AWRTPD.sys
2008-12-25 21:39 --------- d-----w c:\documents and settings\All Users\Data aplikací\Lavasoft
2008-12-20 13:19 --------- d-----w c:\documents and settings\All Users\Data aplikací\Codemasters
2008-12-18 19:00 --------- d-----w c:\documents and settings\ML\Data aplikací\Creative
2008-12-15 16:15 --------- d-----w c:\program files\Hewlett-Packard
2008-11-15 21:46 --------- d-----w c:\documents and settings\ML\Data aplikací\Skype
2008-11-15 15:58 --------- d-----w c:\documents and settings\ML\Data aplikací\skypePM
2008-11-15 15:32 --------- d-----w c:\documents and settings\All Users\Data aplikací\Microsoft Help
2008-11-12 12:45 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2008-11-01 13:34 --------- d-----w c:\program files\MSBuild
2008-11-01 13:32 --------- d-----w c:\program files\Reference Assemblies
2008-10-29 19:00 319,488 ----a-w c:\windows\HideWin.exe
2008-10-29 19:00 --------- d-----w c:\program files\Realtek
2008-10-29 18:12 98,304 ----a-w c:\windows\DUMP9ff9.tmp
2008-10-28 10:42 --------- d-----w c:\program files\SystemRequirementsLab
2008-10-27 09:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll
2008-10-27 09:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll
2008-10-27 09:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll
2008-10-27 09:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll
2008-10-25 17:12 98,304 ----a-w c:\windows\DUMP9b46.tmp
2008-10-17 19:03 87,352 ----a-w c:\windows\system32\LMIinit.dll
2008-10-17 19:03 83,288 ----a-w c:\windows\system32\LMIRfsClientNP.dll
2008-10-17 19:03 28,984 ----a-w c:\windows\system32\LMIport.dll
2008-10-17 19:03 23,736 ----a-w c:\windows\system32\lmimirr.dll
2008-10-17 19:03 10,040 ----a-w c:\windows\system32\lmimirr2.dll
2008-10-17 06:08 98,304 ----a-w c:\windows\DUMP9f8b.tmp
2008-10-13 08:56 70,936 ----a-w c:\windows\system32\PhysXLoader.dll
2008-10-10 03:52 452,440 ----a-w c:\windows\system32\d3dx10_40.dll
2008-10-10 03:52 4,379,984 ----a-w c:\windows\system32\D3DX9_40.dll
2008-10-10 03:52 2,036,576 ----a-w c:\windows\system32\D3DCompiler_40.dll
2008-10-09 17:42 505,128 ----a-w c:\windows\system32\msvcp71.dll
2008-10-09 17:42 353,576 ----a-w c:\windows\system32\msvcr71.dll
2008-10-09 17:17 29,480 ----a-w c:\windows\system32\msxml3a.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelTraditionalChinese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSwedish.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSpanish.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSimplifiedChinese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelPortugese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelKorean.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelJapanese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelGerman.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelFrench.dll
2008-10-07 08:13 288,024 ----a-w c:\windows\system32\PhysXCplUI.exe
2008-10-07 08:13 288,024 ----a-w c:\windows\system32\PhysXCompatCplUI.exe
2008-10-07 08:13 23,320 ----a-w c:\windows\system32\PhysXDevice.dll
2008-06-27 19:00 21 ----a-w c:\documents and settings\All Users\Data aplikací\emopts.dat
2008-06-27 19:00 133 ---ha-w c:\documents and settings\All Users\Data aplikací\ML-acu.dat
2008-06-27 18:59 73 ---h--w c:\documents and settings\All Users\Data aplikací\acopts.dat
2008-06-27 18:59 142 ---h--w c:\documents and settings\All Users\Data aplikací\ML-acopts.dat
2008-05-11 10:51 22,328 ----a-w c:\documents and settings\ML\Data aplikací\PnkBstrK.sys
2008-01-04 17:58 32 ----a-w c:\documents and settings\All Users\Data aplikací\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-12-27_18.18.16.03 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-06-29 00:01:48 42,512 ----a-w c:\windows\system32\drivers\npf.sys
+ 2007-06-29 00:01:48 88,696 ----a-w c:\windows\system32\Packet.dll
+ 2007-06-29 00:01:48 53,299 ----a-w c:\windows\system32\pthreadVC.dll
+ 2007-06-29 00:01:48 68,224 ----a-w c:\windows\system32\WanPacket.dll
+ 2007-06-29 00:01:50 240,240 ----a-w c:\windows\system32\wpcap.dll
+ 2008-12-28 08:52:42 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_e4c.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TClockEx"="c:\util\TClockEx\TCLOCKEX.EXE" [2000-03-09 89088]
"CooLWPC3"="c:\util\CooL Wallpaper Changer\coolwpc.exe" [2003-04-06 1008128]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"Google Update"="c:\documents and settings\ML\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" [2008-12-27 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"Norton Ghost 9.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 63048]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-02-23 536576]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 c:\windows\system32\bthprops.cpl]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 c:\windows\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 c:\windows\SoundMan.exe]
"Network Traffic Monitor"="" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\ML\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-12-23 692224]
SpeedFan.lnk - c:\util\SpeedFan\speedfan.exe [2008-04-22 3287552]
Total Commander.lnk - c:\program files\totalcmd\TOTALCMD.EXE [2007-12-01 1074896]
Z stupce - CZDCPlusPlus.lnk - c:\util\CZ\CZDCPlusPlus.exe [2008-01-03 2416640]
Z stupce - daemon.lnk - c:\program files\DAEMON Tools\daemon.exe [2007-12-19 486856]
Z stupce - Scheduler.lnk - c:\program files\DVBViewer\Scheduler.exe [2007-12-03 229888]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Google Calendar Sync.lnk - c:\program files\Google\Google Calendar Sync\GoogleCalendarSync.exe [2008-10-02 546288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-17 20:03 87352 c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"vidc.divx32"= divxc32.dll
"vidc.divx32f"= divxc32f.dll
"msacm.l3radius"= l3codecp.acm
"msacm.divxa"= divxa32.acm
"msacm.PLCMg722"= PLCMg722.acm
"msacm.PLCMg728"= PLCMg728.acm
"msacm.PLCMg729A"= PLCMg729A.acm
"msacm.PLCMsiren"= PLCMsiren.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools\daemon.exe"
"swg"=c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"ICQ"="c:\program files\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AlcWzrd"=ALCWZRD.EXE
"BDRegion"=c:\program files\Cyberlink\Shared Files\brs.exe
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe"
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe"
"ReminderApp"=c:\program files\Scrapbook Factory Deluxe 4.0\ReminderApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [2004-07-29 138780]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-05-16 97928]
R1 Cinemsup;Cinemsup;c:\windows\system32\drivers\Cinemsup.sys [2002-07-19 6656]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [2004-07-29 46779]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};\??\c:\program files\CyberLink\PowerDVD\000.fcl [2007-11-03 00:12:32 41456]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};\??\c:\program files\CyberLink\PowerDVD8\000.fcl [2008-08-08 09:15:56 41456]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-05-16 231704]
R2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys [2008-02-28 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\windows\system32\drivers\LMIRfsDriver.sys [2008-06-26 47640]
R3 FStarForce;FStarForce;c:\windows\system32\DRIVERS\FStarForce.sys [2008-11-01 9216]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-12-01 343040]
R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\DRIVERS\V0260Vid.sys [2007-12-25 178913]
S2 BT848;WinFast TV2000 XP WDM Video Capture;c:\windows\system32\drivers\wf2kvcap.sys [2007-12-01 75925]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys []
S2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [2007-12-01 36423]
S2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;c:\windows\system32\drivers\wf2kxbar.sys [2007-12-01 10005]
S3 FlyPCI;FlyPCI;\??\c:\windows\system32\drivers\FlyPCI.sys [2007-12-02 4134]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-06-29 42512]
S4 LMIRfsClientNP;LMIRfsClientNP; []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de22e28b-7fdc-11dd-99b8-0013d37d1cd8}]
\shell\autorun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\shell\explore\command - K:\system.exe
\shell\open\command - K:\system.exe
.
Obsah adresáře 'Naplánované úlohy'

2008-12-27 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\ML\Local Settings\Data aplikac []
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\sysreqlab3.dll - c:\windows\Downloaded Program Files\sysreqlab_srl.dll
O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E}
hxxp://www.srtest.com/srl_bin/sysreqlab_srl.cab
c:\windows\Downloaded Program Files\sysreqlab.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-28 09:55:42
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\tlntsvr]
"ImagePath"=""

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(356)
c:\windows\system32\avgrsstx.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll

- - - - - - - > 'lsass.exe'(700)
c:\windows\system32\avgrsstx.dll
.
Celkový čas: 2008-12-28 9:56:16
ComboFix-quarantined-files.txt 2008-12-28 08:56:04
ComboFix2.txt 2008-12-27 19:59:56
ComboFix3.txt 2008-12-27 17:18:39

Před spuštěním: Volných bajtů: 15 686 582 272
Po spuštění: Volných bajtů: 15,668,273,152

270
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

akorát je tam všude C:, je třeba nahrát ho fyzicky na další disky a spustit odtam :-o?
Nene, takto by to mělo stačit.

AntiMalware nic nenašel, takže to je super.

Nech zapojeny všechny USB klíče (Flashka, MP3) a proveď toto:

Citace:
Pokuď jste tak ještě neučinil, přesuňte ComboFix na Plochu.
Otevřete si Poznámkový Blok.
Do něj zkopírujte skript z následujícího okna (bez slova Kód)

Kód: Vybrat vše

File::
c:\windows\system32\CBEVTSVC.del
c:\windows\system32\CRYPTS.DLL.del
c:\windows\uninst.exe
c:\windows\unvise32.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de22e28b-7fdc-11dd-99b8-0013d37d1cd8}]
Uložte Vámi vytvořený textový soubor s názvem CFScript.txt na plochu (Dávejte pozor, aby jste tam neměli dvakrát .txt).
Po uložení uchopte Vámi vytvořený skript levým tlačítkem myši a přesuňte jej nad ikonu Combofixu, nad niž skript upusťte:

Obrázek

Po apllikaci by na Vás měl vybafnout další log, vložte jej prosím sem. :)
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

Re: services.exe odesílá data na cizí IP

Příspěvek od ravie »

Ups....vždycky je poněkud frustrující, když člověk rozumí (resp. myslí si, že rozumí) jen polovině z toho, co dělá :?
Uninst a unwise jsou odinstalační programy, jak se dá poznat, že zrovna tyhle soubory tam nemají co dělat?
No každopádně nemám důvod nevěřit :-D, tady je log:

ComboFix 08-12-26.03 - ML 2008-12-28 11:26:58.4 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.3582.2900 [GMT 1:00]
Spuštěný z: c:\documents and settings\ML\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\ML\Plocha\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
c:\windows\system32\CBEVTSVC.del
c:\windows\system32\CRYPTS.DLL.del
c:\windows\uninst.exe
c:\windows\unvise32.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\CBEVTSVC.del
c:\windows\system32\CRYPTS.DLL.del
c:\windows\uninst.exe
c:\windows\unvise32.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2008-11-28 do 2008-12-28 )))))))))))))))))))))))))))))))
.

2008-12-27 21:18 . 2008-12-27 21:18 <DIR> d-------- c:\program files\WinPcap
2008-12-27 19:14 . 2008-12-27 19:14 <DIR> d-------- c:\documents and settings\ML\Data aplikací\Malwarebytes
2008-12-27 19:14 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-27 19:13 . 2008-12-27 19:14 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-27 19:13 . 2008-12-27 19:13 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2008-12-27 19:13 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-27 18:25 . 2008-12-27 18:25 90 --a------ c:\windows\system32\Partizan.RRI
2008-12-27 17:34 . 2008-12-27 18:07 <DIR> d-------- c:\windows\RestoreSafeDeleted
2008-12-27 17:17 . 2008-12-27 18:27 <DIR> d-------- c:\program files\UnHackMe
2008-12-27 17:17 . 2008-12-27 17:17 (2) -rahs-ot- c:\windows\winstart.bat
2008-12-27 17:16 . 2008-12-28 09:56 4,144 --a------ c:\windows\system32\PerfStringBackup.TMP
2008-12-27 16:02 . 2008-12-27 21:18 <DIR> d-------- c:\program files\Network Traffic Monitor
2008-12-27 16:02 . 2004-05-20 13:19 193,768 --a------ c:\windows\system32\csdnsapi.dll
2008-12-27 16:02 . 2004-05-20 13:19 165,088 --a------ c:\windows\system32\cswhoapi.dll
2008-12-27 16:02 . 2008-01-08 08:47 45,056 --a------ c:\windows\system32\SETHOOK.DLL
2008-12-27 14:35 . 2008-12-27 14:35 <DIR> d-------- c:\windows\system32\oobe
2008-12-27 14:35 . 2008-12-27 14:35 <DIR> d-------- c:\windows\srchasst
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\documents and settings\ML\Data aplikací\TuneUp Software
2008-12-27 14:28 . 2008-12-27 14:28 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\TuneUp Software
2008-12-27 14:27 . 2008-12-27 14:27 <DIR> d--hs---- c:\documents and settings\All Users\Data aplikací\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-27 10:23 . 2008-12-27 10:23 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\AVGTOOLBAR
2008-12-27 10:23 . 2008-12-27 10:23 <DIR> d-------- c:\windows\system32\config\systemprofile\Data aplikací\AVGTOOLBAR
2008-12-26 11:37 . 2008-12-26 11:38 <DIR> d-------- c:\program files\Security Task Manager
2008-12-26 11:37 . 2008-12-26 11:38 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\SecTaskMan
2008-12-25 22:39 . 2008-12-26 10:28 <DIR> d-------- c:\program files\Ad-Aware
2008-12-25 22:38 . 2008-12-25 22:38 <DIR> d-------- c:\program files\Lavasoft
2008-12-11 16:33 . 2008-12-11 16:33 <DIR> d-------- c:\windows\Samsung
2008-12-11 16:33 . 2008-02-24 04:56 479,232 --a------ c:\windows\ssndii.exe
2008-12-11 16:33 . 2007-02-13 10:30 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-12-11 16:33 . 2007-02-13 10:29 21,776 --a------ c:\windows\system32\msxml2a.dll
2008-12-11 16:33 . 2007-03-05 09:09 11,502 --------- c:\windows\Dr. Printer Icon.ico
2008-12-11 16:28 . 2008-12-11 16:28 <DIR> d-------- c:\windows\system32\drivers\Samsung
2008-12-11 16:28 . 2008-12-11 16:28 <DIR> d-------- c:\program files\Samsung
2008-12-11 16:28 . 2007-02-09 02:21 151,552 --a------ c:\windows\system32\ml163sci.exe
2008-12-11 16:28 . 2007-02-09 02:21 65,536 --a------ c:\windows\system32\ml163sci.dll
2008-12-11 16:28 . 2007-03-05 09:11 41,984 --------- c:\windows\system32\drivers\DGIVECP.SYS
2008-12-11 16:28 . 2007-02-09 02:22 22,723 --a------ c:\windows\system32\ml163sl3.dll
2008-12-11 16:28 . 2007-02-09 02:22 520 --a------ c:\windows\system32\ml163sl3.smt
2008-12-11 16:17 . 2008-12-11 16:17 <DIR> d--h----- c:\documents and settings\All Users\Data aplikací\CanonIJScan
2008-12-11 16:16 . 2008-12-11 16:16 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-12-11 16:15 . 2008-12-11 16:15 <DIR> d--h----- c:\program files\CanonBJ
2008-12-11 16:15 . 2008-04-07 15:58 1,339,392 --a------ c:\windows\system32\CNQ2413C.DLL
2008-12-11 16:15 . 2008-05-02 10:13 585,728 --a------ c:\windows\system32\CNQ2413L.DLL
2008-12-11 16:15 . 2007-03-15 15:12 188,416 --a------ c:\windows\system32\CNQ2413O.DLL
2008-12-11 16:15 . 2008-04-07 15:58 98,304 --a------ c:\windows\system32\CNQ2413I.DLL
2008-12-08 17:59 . 2008-12-08 17:59 <DIR> d-------- c:\documents and settings\ML\WINDOWS
2008-12-05 18:17 . 2008-12-27 20:54 <DIR> d--h----- C:\$AVG8.VAULT$
2008-11-28 17:34 . 2008-11-28 17:34 <DIR> d-------- c:\program files\DreamCatcher

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-27 23:11 --------- d-----w c:\program files\LogMeIn
2008-12-27 22:19 --------- d-----w c:\documents and settings\ML\Data aplikací\DAEMON Tools
2008-12-27 18:12 --------- d-----w c:\documents and settings\ML\Data aplikací\uTorrent
2008-12-26 10:45 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-12-25 21:40 15,648 ----a-w c:\windows\system32\drivers\NSDriver.sys
2008-12-25 21:40 15,648 ----a-w c:\windows\system32\drivers\AWRTRD.sys
2008-12-25 21:40 12,960 ----a-w c:\windows\system32\drivers\AWRTPD.sys
2008-12-25 21:39 --------- d-----w c:\documents and settings\All Users\Data aplikací\Lavasoft
2008-12-20 13:19 --------- d-----w c:\documents and settings\All Users\Data aplikací\Codemasters
2008-12-18 19:00 --------- d-----w c:\documents and settings\ML\Data aplikací\Creative
2008-12-15 16:15 --------- d-----w c:\program files\Hewlett-Packard
2008-11-15 21:46 --------- d-----w c:\documents and settings\ML\Data aplikací\Skype
2008-11-15 15:58 --------- d-----w c:\documents and settings\ML\Data aplikací\skypePM
2008-11-15 15:32 --------- d-----w c:\documents and settings\All Users\Data aplikací\Microsoft Help
2008-11-12 12:45 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2008-11-01 13:34 --------- d-----w c:\program files\MSBuild
2008-11-01 13:32 --------- d-----w c:\program files\Reference Assemblies
2008-10-29 19:00 319,488 ----a-w c:\windows\HideWin.exe
2008-10-29 19:00 --------- d-----w c:\program files\Realtek
2008-10-29 18:12 98,304 ----a-w c:\windows\DUMP9ff9.tmp
2008-10-28 10:42 --------- d-----w c:\program files\SystemRequirementsLab
2008-10-27 09:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll
2008-10-27 09:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll
2008-10-27 09:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll
2008-10-27 09:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll
2008-10-25 17:12 98,304 ----a-w c:\windows\DUMP9b46.tmp
2008-10-17 19:03 87,352 ----a-w c:\windows\system32\LMIinit.dll
2008-10-17 19:03 83,288 ----a-w c:\windows\system32\LMIRfsClientNP.dll
2008-10-17 19:03 28,984 ----a-w c:\windows\system32\LMIport.dll
2008-10-17 19:03 23,736 ----a-w c:\windows\system32\lmimirr.dll
2008-10-17 19:03 10,040 ----a-w c:\windows\system32\lmimirr2.dll
2008-10-17 06:08 98,304 ----a-w c:\windows\DUMP9f8b.tmp
2008-10-13 08:56 70,936 ----a-w c:\windows\system32\PhysXLoader.dll
2008-10-10 03:52 452,440 ----a-w c:\windows\system32\d3dx10_40.dll
2008-10-10 03:52 4,379,984 ----a-w c:\windows\system32\D3DX9_40.dll
2008-10-10 03:52 2,036,576 ----a-w c:\windows\system32\D3DCompiler_40.dll
2008-10-09 17:42 505,128 ----a-w c:\windows\system32\msvcp71.dll
2008-10-09 17:42 353,576 ----a-w c:\windows\system32\msvcr71.dll
2008-10-09 17:17 29,480 ----a-w c:\windows\system32\msxml3a.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelTraditionalChinese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSwedish.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSpanish.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelSimplifiedChinese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelPortugese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelKorean.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelJapanese.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelGerman.dll
2008-10-07 08:13 58,648 ----a-w c:\windows\system32\AgCPanelFrench.dll
2008-10-07 08:13 288,024 ----a-w c:\windows\system32\PhysXCplUI.exe
2008-10-07 08:13 288,024 ----a-w c:\windows\system32\PhysXCompatCplUI.exe
2008-10-07 08:13 23,320 ----a-w c:\windows\system32\PhysXDevice.dll
2008-06-27 19:00 21 ----a-w c:\documents and settings\All Users\Data aplikací\emopts.dat
2008-06-27 19:00 133 ---ha-w c:\documents and settings\All Users\Data aplikací\ML-acu.dat
2008-06-27 18:59 73 ---h--w c:\documents and settings\All Users\Data aplikací\acopts.dat
2008-06-27 18:59 142 ---h--w c:\documents and settings\All Users\Data aplikací\ML-acopts.dat
2008-05-11 10:51 22,328 ----a-w c:\documents and settings\ML\Data aplikací\PnkBstrK.sys
2008-01-04 17:58 32 ----a-w c:\documents and settings\All Users\Data aplikací\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-12-27_18.18.16.03 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-06-29 00:01:48 42,512 ----a-w c:\windows\system32\drivers\npf.sys
+ 2007-06-29 00:01:48 88,696 ----a-w c:\windows\system32\Packet.dll
+ 2007-06-29 00:01:48 53,299 ----a-w c:\windows\system32\pthreadVC.dll
+ 2007-06-29 00:01:48 68,224 ----a-w c:\windows\system32\WanPacket.dll
+ 2007-06-29 00:01:50 240,240 ----a-w c:\windows\system32\wpcap.dll
+ 2008-12-28 08:52:42 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_e4c.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TClockEx"="c:\util\TClockEx\TCLOCKEX.EXE" [2000-03-09 89088]
"CooLWPC3"="c:\util\CooL Wallpaper Changer\coolwpc.exe" [2003-04-06 1008128]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"Google Update"="c:\documents and settings\ML\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" [2008-12-27 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"Norton Ghost 9.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 63048]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-02-23 536576]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 c:\windows\system32\bthprops.cpl]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 c:\windows\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 c:\windows\SoundMan.exe]
"Network Traffic Monitor"="" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\ML\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-12-23 692224]
SpeedFan.lnk - c:\util\SpeedFan\speedfan.exe [2008-04-22 3287552]
Total Commander.lnk - c:\program files\totalcmd\TOTALCMD.EXE [2007-12-01 1074896]
Z stupce - CZDCPlusPlus.lnk - c:\util\CZ\CZDCPlusPlus.exe [2008-01-03 2416640]
Z stupce - daemon.lnk - c:\program files\DAEMON Tools\daemon.exe [2007-12-19 486856]
Z stupce - Scheduler.lnk - c:\program files\DVBViewer\Scheduler.exe [2007-12-03 229888]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Google Calendar Sync.lnk - c:\program files\Google\Google Calendar Sync\GoogleCalendarSync.exe [2008-10-02 546288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-17 20:03 87352 c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"vidc.divx32"= divxc32.dll
"vidc.divx32f"= divxc32f.dll
"msacm.l3radius"= l3codecp.acm
"msacm.divxa"= divxa32.acm
"msacm.PLCMg722"= PLCMg722.acm
"msacm.PLCMg728"= PLCMg728.acm
"msacm.PLCMg729A"= PLCMg729A.acm
"msacm.PLCMsiren"= PLCMsiren.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools\daemon.exe"
"swg"=c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"ICQ"="c:\program files\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AlcWzrd"=ALCWZRD.EXE
"BDRegion"=c:\program files\Cyberlink\Shared Files\brs.exe
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe"
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe"
"ReminderApp"=c:\program files\Scrapbook Factory Deluxe 4.0\ReminderApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [2004-07-29 138780]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-05-16 97928]
R1 Cinemsup;Cinemsup;c:\windows\system32\drivers\Cinemsup.sys [2002-07-19 6656]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [2004-07-29 46779]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};\??\c:\program files\CyberLink\PowerDVD\000.fcl [2007-11-03 00:12:32 41456]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};\??\c:\program files\CyberLink\PowerDVD8\000.fcl [2008-08-08 09:15:56 41456]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-05-16 231704]
R2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys [2008-02-28 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\windows\system32\drivers\LMIRfsDriver.sys [2008-06-26 47640]
R3 FStarForce;FStarForce;c:\windows\system32\DRIVERS\FStarForce.sys [2008-11-01 9216]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-06-29 42512]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-12-01 343040]
R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\DRIVERS\V0260Vid.sys [2007-12-25 178913]
S2 BT848;WinFast TV2000 XP WDM Video Capture;c:\windows\system32\drivers\wf2kvcap.sys [2007-12-01 75925]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys []
S2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [2007-12-01 36423]
S2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;c:\windows\system32\drivers\wf2kxbar.sys [2007-12-01 10005]
S3 FlyPCI;FlyPCI;\??\c:\windows\system32\drivers\FlyPCI.sys [2007-12-02 4134]
S4 LMIRfsClientNP;LMIRfsClientNP; []
.
Obsah adresáře 'Naplánované úlohy'

2008-12-28 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\ML\Local Settings\Data aplikac []
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\sysreqlab3.dll - c:\windows\Downloaded Program Files\sysreqlab_srl.dll
O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E}
hxxp://www.srtest.com/srl_bin/sysreqlab_srl.cab
c:\windows\Downloaded Program Files\sysreqlab.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-28 11:28:05
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\tlntsvr]
"ImagePath"=""

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(356)
c:\windows\system32\avgrsstx.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll

- - - - - - - > 'lsass.exe'(700)
c:\windows\system32\avgrsstx.dll
.
Celkový čas: 2008-12-28 11:28:36
ComboFix-quarantined-files.txt 2008-12-28 10:28:28
ComboFix2.txt 2008-12-28 08:56:17
ComboFix3.txt 2008-12-27 19:59:56
ComboFix4.txt 2008-12-27 17:18:39

Před spuštěním: Volných bajtů: 15 640 489 984
Po spuštění: Volných bajtů: 15,627,792,384

277
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

No, ono nejsou to bezpodmínečně šmejdi. Ale někdo je maže, někdo ne. Dost lidí mi řikalo, že je lepší je smazat.

Takže to již vypadá dobře. Nyní vlož nový log z HijackThis - ale z nové verze - tu stáhni zde: http://www.stahuj.centrum.cz/internet_a ... hijackthis

+ Můžeš ještě provést sken s AntiMalware celého C, když něco najde, vlož log.
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

Re: services.exe odesílá data na cizí IP

Příspěvek od ravie »

Ahoj,
udělal jsem, tady je log.
AntiMalware nenašel nic.
Btw, je jedno, jestli používám IE, Firefox nebo Chrome, nebo bys doporučil některý konkrétní - kvůli bezpečnosti?
No a ještě nám zůstává jedna otázka, a sice jak se Ti můžu odvděčit, protože jsi mi s vysokou pravděpodobností ušetřil čas, který bych strávil reinstalací systému :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:10:47, on 28.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Util\CooL Wallpaper Changer\coolwpc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\ML\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Util\SpeedFan\speedfan.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Util\CZ\CZDCPlusPlus.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\DVBViewer\Scheduler.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Documents and Settings\ML\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\ML\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BSplayer\bsplayer.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Util\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [TClockEx] C:\Util\TClockEx\TCLOCKEX.EXE
O4 - HKCU\..\Run: [CooLWPC3] C:\Util\CooL Wallpaper Changer\coolwpc.exe /boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\ML\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Startup: SpeedFan.lnk = C:\Util\SpeedFan\speedfan.exe
O4 - Startup: Total Commander.lnk = C:\Program Files\totalcmd\TOTALCMD.EXE
O4 - Startup: Zástupce - CZDCPlusPlus.lnk = C:\Util\CZ\CZDCPlusPlus.exe
O4 - Startup: Zástupce - daemon.lnk = C:\Program Files\DAEMON Tools\daemon.exe
O4 - Startup: Zástupce - Scheduler.lnk = C:\Program Files\DVBViewer\Scheduler.exe
O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ ... /CTPID.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Ad-Aware\aawservice.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: cisvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: ups - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 9329 bytes
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

Jako prohlížeč doporučuji FireFox nebo Chrome. IE stojí za velký kulový v bezpečnosti.

V HijackThis fixni:

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)

To jsou jen zbytečnosti. Ne žádní šmejdi.

No ono samotná reinstalace systému není takový problém, ale horší je, že se příjde o data takže se musí zálohovat. Takže takto je to jednodužší. nyní je to vlastně všechno, jsme u konce. Nevím, jak by sis představoval odvděčení, co navrhuješ? Samozřejmě já budu rád, když budeš stále navštěvovat toto forum a s problémama navštívíš zrovna nás (třeba zase mě :-) ). Jo jinak, přeju hodně štěstí, úspěchů a pevné nervy :-D. Měj se.
ravie
Začátečník
Začátečník
Uživatelský avatar
Registrován: 08. dub 2005
Bydliště: Brno

Re: services.exe odesílá data na cizí IP

Příspěvek od ravie »

Ahoj opět,
především Ti chci moc poděkovat za pomoc, protože kdybych nenarazil na Tebe, tak strávím pěkných pár hodin instalací systému a hlavně opětovnou instalací všeho nepořádku, co používám :).
Kdyby tady byl nějaký systém hodnocení, tak ode mě máš hned velké plus :), takhle Tě můžu jenom takto doporučit všem ostatním uživatelům :idea:
No a každopádně to máš u mě, kdybys potřeboval s něčím poradit, klidně mě zkus, třeba se náhodou trefíš :).
Jinak díval jsem se do Tvého profilu, a taky si vzpomněl, že jsi si hrál s DVDRW (pochopil jsem to tak, že se v tom šťouráš a opravuješ to rukama 8) ), tak jsem si uvědomil, že mám doma nějaké věci, které neupotřebím, a třeba by se Ti náhodou mohly hodit pro nějaké drobné pokusy?
Nějaký regulátor otáček, větráky, chladiče (aktivní, pasivní, boxované), kdyby se Ti to třeba mohlo hodit, rád Ti to pošlu. Není to vyloženě na vyhození, něco z toho snad možná bude ještě v záruce :-D, ale vím, že na to čas mít nebudu...mám rodinu :).
Ještě jednou díky a třeba se ještě potkáme...dávám si Tě do kamarádů.
i5, 8GB RAM, R7 270. A super bedna - 3R systems R700, plus nějaká ta Noctua :)
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

Ahoj, jsem rád, že tady na foru jsou i takto příjemní lidé. Samozřejmě nemáš zač, rád jsem Ti pomohl. Já zase děkuji Tobě za důvěru, také si Tě dávám mezi kamarády, abych věděl, o koho jde. K mechanice, ano, ručně jsem jí měl rozdělanou komplet na kousky, vyměňoval jsem motorek a čistil laser, a kupodivu funguje :-) Také doufám, že se ještě někdy potkáme, kdykoliv mi můžeš napsat SZ (soukromou zprávu), a můžeme pokecat. No, k těm neupotřebitelným věcem, řeknu to takhle - mě se prakticky hodí všechno :-D IT mě baví a aktivně se problematice počítačů věnuji. Takže je to tvoje volba, ale klidně bych to bral. Jestli si to nerozmyslíš, napiš mi SZ a domluvily by jsme se na detailech (napsal bych Ti adresu, kdyby si chtěl třeba zaplatit poštovné, ...). Hodně štěstí.
jansv
Mírně pokročilý
Mírně pokročilý
Registrován: 16. lis 2008

Re: services.exe odesílá data na cizí IP

Příspěvek od jansv »

Pro S1T1N: A co já s tím?
Odpovědět

Zpět na „Viry, antiviry a bezpečnost“