Win32/Mebroot.K

[lukyluk]

Zdravím vás,

NOD32 mi hlásí napadení:
boot sektor MBR sektor 0. fyzického disku Win32/Mebroot.K
někdy toto napadení hlásí v sektoru 1. a také v sektoru 2.

Pro zbavení této havěti jsem udělal následující:
1. pomocí konzole pro zotavení FIXMBR - nepomohlo
2. FixMebroot nenašel žádného aktivního trojana
3. Spustil jsem dvakrát scan and clean v programu MWAV (viz. log)
4. Spustil jsem ComboFix (viz. log)
5. Spustil jsem Gmer (viz. log)
6. Přikládám též závěrečný log z HijackThis

Při volitelné kontrole PC NODem mi NOD nachází zmíněnou havěť v boot sektorech všech připojených disků (HDD, USB HDD, USB Flash a dokonce i na CD vloženém do mechaniky) v současné době v sektoru 2.
První nákaza PC byla:
7.6.2008 14:08:59 boot sektor MBR sektor 0. fyzického disku Win32/Mebroot.H

Předem děkuji za vaši laskavou pomoc.

Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "winfixer/errorsafe Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Záznam "HKCR\AcroExch.ShortCut.3" odkazuje na neplatný objekt "{F70B7CFD-8B9A-0584-729D-D481C1F1164E}". Provedené akce: Záznam odstraněn.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "". Provedené akce: Záznam odstraněn.
Záznam "HKLM\Software\Microsoft\Shared Tools\DAO" odkazuje na neplatný objekt "C:\Program Files\Common Files\Microsoft Shared\DAO". Provedené akce: Záznam odstraněn.
Soubor F:\System Volume Information\_restore{B082414D-E877-44CE-842F-27743C8C4862}\RP4\A0002159.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037096.exe//data0014 byl indentifikován jako "not-a-virus:Server-Proxy.Win32.MarketScore.k". Ponecháno, neodstraněno!
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037098.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037100.exe//WISE0023.BIN//UPX byl indentifikován jako "not-a-virus:PSWTool.Win32.Cain.284". Ponecháno, neodstraněno!
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037114.exe//file002 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.

ComboFix 08-07-10.1 - Lukas a Misa 2008-07-11 14:06:01.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.1533 [GMT 2:00]
Running from: C:\Documents and Settings\Lukas a Misa\Plocha\ComboFix.exe
* Created a new restore point
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}


((((((((((((((((((((((((( Files Created from 2008-06-11 to 2008-07-11 )))))))))))))))))))))))))))))))
.

2008-07-11 14:01 . 2008-07-11 14:02 <DIR> d-------- C:\Program Files\HiJack this
2008-07-11 07:42 . 2008-07-11 07:42 6,447,257 --a------ C:\WINDOWS\REGBK00.ZIP
2008-07-10 22:09 . 2008-07-11 12:46 95 --a------ C:\23990098.$$$
2008-07-10 17:05 . 2008-07-10 17:05 <DIR> d-------- C:\Program Files\CCleaner
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-07-10 16:59 . 2008-07-11 13:25 50 --a------ C:\WINDOWS\Lic.xxx
2008-07-10 16:58 . 2008-04-14 05:22 147,968 --a------ C:\WINDOWS\R.COM
2008-07-10 16:58 . 2008-04-14 05:22 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-07-09 20:22 . 2008-07-09 20:22 142,096 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-07-09 19:26 . 2008-07-09 19:30 <DIR> d-------- C:\Documents and Settings\Lukas a Misa\DoctorWeb
2008-07-07 21:16 . 2008-07-07 21:16 <DIR> d-------- C:\Program Files\Common Files\Nikon
2008-07-07 07:29 . 2008-07-07 07:29 <DIR> d-------- C:\Program Files\Common Files\Logishrd
2008-07-07 07:29 . 2008-05-02 02:38 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll
2008-07-07 07:29 . 2008-07-07 07:29 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-06-13 14:13 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-06-13 14:13 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-06-13 14:13 . 2007-03-08 07:09 1,024,000 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-06-13 14:13 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-06-13 14:13 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-06-13 14:13 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-06-13 14:13 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-06-13 14:13 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-06-13 14:13 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-13 14:12 . 2008-04-14 18:00 272,128 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-13 14:12 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-13 14:06 . 2004-08-17 15:49 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\system32\cs
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\system32\bits
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\l2schemas
2008-06-13 14:00 . 2008-06-13 14:00 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-06-13 08:42 . 2008-06-13 08:42 <DIR> d-------- C:\Program Files\AviSynth 2.5
2008-06-13 08:42 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2008-06-13 08:42 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2008-06-13 08:42 . 2008-02-07 16:15 408,576 --a------ C:\WINDOWS\system32\Smab.dll
2008-06-13 08:42 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2008-06-13 08:42 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2008-06-13 08:42 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2008-06-13 08:42 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-06-13 08:42 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2008-06-13 08:42 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2008-06-13 08:42 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2008-06-13 08:40 . 2008-06-13 08:40 <DIR> d-------- C:\Program Files\eRightSoft

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 11:30 --------- d-----w C:\Program Files\DScaler
2008-07-11 05:43 --------- d-----w C:\Program Files\PowerISO
2008-07-07 05:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-07 05:29 --------- d-----w C:\Program Files\Common Files\Logitech
2008-07-01 18:12 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 5
2008-06-13 12:05 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd1965.sys
2008-06-08 19:01 --------- d-----w C:\Program Files\Common Files\SolidWorks Shared
2008-06-08 19:01 --------- d-----w C:\Program Files\Common Files\eDrawings2008
2008-06-05 19:35 --------- d-----w C:\Program Files\ASUS WiFi-AP Solo
2008-05-18 16:40 --------- d-----w C:\Program Files\Pinnacle
2008-05-18 16:16 --------- d-----w C:\Program Files\BIAS
2008-05-18 16:13 --------- d-----w C:\Program Files\proDAD
2008-05-18 16:12 --------- d-----w C:\Program Files\AdorageI-SAL
2008-05-18 16:12 --------- d-----w C:\Program Files\AdorageI-GfxDatas
2008-05-18 15:57 --------- d-----w C:\Program Files\DIFX
2008-04-14 03:22 69,632 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 03:22 50,688 ----a-w C:\WINDOWS\twain_32.dll
2008-04-14 03:22 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 03:22 283,648 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 03:22 147,968 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 03:22 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 03:22 1,034,240 ----a-w C:\WINDOWS\explorer.exe
2008-04-14 03:21 451,072 ----a-w C:\WINDOWS\AppPatch\aclayers.dll
2008-04-14 03:21 39,424 ----a-w C:\WINDOWS\AppPatch\acadproc.dll
2008-04-14 03:21 245,248 ----a-w C:\WINDOWS\AppPatch\acspecfc.dll
2008-04-14 03:21 141,312 ----a-w C:\WINDOWS\AppPatch\aclua.dll
2008-04-14 03:21 116,224 ----a-w C:\WINDOWS\AppPatch\acxtrnal.dll
2008-04-14 03:21 1,852,928 ----a-w C:\WINDOWS\AppPatch\acgenral.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 05:22 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-09-20 16:35 202024]
"LightScribe Control Panel"="C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 17:36 455968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 14:06 40048]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 09:21 1443072]
"BDRegion"="C:\Program Files\Cyberlink\Shared Files\brs.exe" [2007-11-16 16:50 91432]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 07:05 72736]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 09:36 62760]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 10:51 1836328]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"KTSInit"="C:\Programme\Bosch\ESItronic\KTS500\ph_test.exe" [2006-08-04 08:17 1081856]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 03:12 76304 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 05:22 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Program Files\Common Files\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.divxa32"= msaud32_divx.acm
"VIDC.MJPG"= Pvmjpg30.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\ICQ6\\ICQ.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"C:\\Program Files\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2007-12-21 09:21]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2007-11-02 21:42]
R2 ATIBTCAP;ATI TV Wonder Video Capture;C:\WINDOWS\system32\drivers\atibtcap.sys [2002-11-05 00:00]
R2 ATIBTXBAR;ATI TV Wonder Video Crossbar;C:\WINDOWS\system32\drivers\atibtxbr.sys [2002-11-05 00:00]
R2 ATIVTUTW;ATI TV Wonder TV Tuner;C:\WINDOWS\system32\drivers\ativtutw.sys [2002-11-05 00:00]
R2 ATIVXSTW;ATI TV Wonder Audio Crossbar;C:\WINDOWS\system32\drivers\ativxstw.sys [2002-11-05 00:00]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2008-04-13 20:56]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 09:30]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 14:09:59
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Completion time: 2008-07-11 14:17:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-11 12:16:52

Adresářů: 11, Volných bajtů: 22,722,162,688
Adres ý…: 13, Volněch bajt…: 22,981,615,616

192

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-11 14:53:09
Windows 5.1.2600 Service Pack 3


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x25429800 size 0x2c3
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

---- EOF - GMER 1.0.14 ----

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:18, on 11.7.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KTSInit] "C:\Programme\Bosch\ESItronic\KTS500\ph_test.exe" -timeout=10 -inithardware
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 9283 bytes

[stell]

Zdravim;
No uvidime ale neslubujem nic ak ani fixmbr nepomohlo tak hm.
1:Klikni v mojom podpise na SVI a sprav to tak ako je napisane.
2:log combofix>ok
3:Log HJT>ok
4:Log GMER>Nalez.
5: Urob zalohu dolezitich dat.
6:

, stáhněte MBR - http://www2.gmer.net/mbr/mbr.exe uložte na disk C:\ dvojklikem spusťte > vytvoří se log mbr.log, vložte ho celý sem.

[lukyluk]

ad. 1. Takže obnovení systému bylo vypnuto a zapnuto dle návodu.

ad. 6 Zde je log mbr.exe:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x25429800 size 0x2c3 !
copy of MBR has been found in sector 62 !

...
NOD sám od sebe při puštění WIN nehlásí vir. Nákaza je nahlášena pouze při mnou vyvolané kontrole. Nemůže jít o falešný poplach? - teď jsem to zkoušel hlásí ho pořád.
Ještě dotaz k příkazu FIXMBR. Pokud ho jednou provedu, měl by při dalším puštění napsat, že MBR je v pořádku a není potřeba fixovat?

Snažně prosím o další nápady, nevím proč nepomáhají věci, které normálně stačí.

[stell]

Len klud uz aj ideme nato.
skopiruj program mbr.exe do zlozky Windows
chod na START/Spustit a vloz tam prikaz mbr -f stlac enter
......Restart<a znova spust mbr.exe> > vytvoří se log mbr.log, vložte ho celý sem.

[lukyluk]

Tak mbr.log je stále stejný:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x25429800 size 0x2c3 !
copy of MBR has been found in sector 62 !

Ihned po restartu NOD automaticky zahlásil přítomnost Win32/Mebroot.K v sektoru 1.

[stell]

Takto.MEBROOT nie je na systemovom disku,ale inde:
Teraz start spustit vloz prikaz diskmgmt.msc enter.
Tu sa pozri kolko diskov vidi system okrem jednotky CD/DVD
a napis to tu.

[lukyluk]

Správa disků vidí 3 disky.
C: + E: (Sata disk rozdělený na dva oddíly)
F: USB přenosný HDD WD

viz. obrázek

sprava_disku.gif (20.85 KiB) Zobrazeno 14397 x

[stell]

ok teraz preskenuj NODOM:Disk:E:\-F:\ a ScanLog vloz elebo ukaz

[lukyluk]

To už jsem dělal několikrát: zde je log z kontroly 2 dny staré (před spuštěním všech těch dalších anitvirových utilit). Kromě těchto disků byly připojeny i dvě USB flash paměti (G: a H:).

Protokol o kontrole
Verze virové databáze: 3254 (20080709)
Datum: 9.7.2008 Čas: 13:56:25
Testované disky, adresáře a soubory: Paměť;C:\Boot sektor;C:\;D:\Boot sektor;D:\;E:\Boot sektor;E:\;F:\Boot sektor;F:\;G:\Boot sektor;G:\;H:\Boot sektor;H:\
MBR sektor 1. fyzického disku - Win32/Mebroot.K trojský kůň - chyba při léčení - akce není povolena pro tento typ objektu
C:\pagefile.sys - chyba při otevírání [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - chyba při otevírání [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - chyba při otevírání [4]
C:\Documents and Settings\LocalService\Local Settings\Data aplikací\Microsoft\Windows\UsrClass.dat - chyba při otevírání [4]
C:\Documents and Settings\LocalService\Local Settings\Data aplikací\Microsoft\Windows\UsrClass.dat.LOG - chyba při otevírání [4]
C:\Documents and Settings\Lukas a Misa\NTUSER.DAT - chyba při otevírání [4]
C:\Documents and Settings\Lukas a Misa\ntuser.dat.LOG - chyba při otevírání [4]
C:\Documents and Settings\Lukas a Misa\Local Settings\Data aplikací\Identities\{09D844B7-5C3C-48C4-B88A-B6F985FF0B28}\Microsoft\Outlook Express\Doručená pošta.dbx » DBX - je v pořádku (nezkontrolováno uvnitř)
C:\Documents and Settings\Lukas a Misa\Local Settings\Data aplikací\Microsoft\Windows\UsrClass.dat - chyba při otevírání [4]
C:\Documents and Settings\Lukas a Misa\Local Settings\Data aplikací\Microsoft\Windows\UsrClass.dat.LOG - chyba při otevírání [4]
C:\Documents and Settings\Lukas a Misa\Local Settings\Temp\NERO13820\Data\0A72FAFE.cab » CAB » CDI_VCD335C15F1.CFG » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Documents and Settings\Lukas a Misa\Local Settings\Temp\NERO13820\Data\E4060BF5.cab » CAB » rootFEAA0A71.img » GZIP » - poškozený archiv
C:\Documents and Settings\Lukas a Misa\Local Settings\Temp\NeroDemo9598\Cab\0A72FAFE.cab » CAB » CDI_VCD335C15F1.CFG » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Documents and Settings\NetworkService\NTUSER.DAT - chyba při otevírání [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - chyba při otevírání [4]
C:\Documents and Settings\NetworkService\Local Settings\Data aplikací\Microsoft\Windows\UsrClass.dat - chyba při otevírání [4]
C:\Documents and Settings\NetworkService\Local Settings\Data aplikací\Microsoft\Windows\UsrClass.dat.LOG - chyba při otevírání [4]
C:\Games\Formula.1.2007.PC.Game-F1TeAM\Formula.1.2007.PC.Game-F1TeAM\Support\fr-fr_eula.txt » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Games\Formula.1.2007.PC.Game-F1TeAM\Formula.1.2007.PC.Game-F1TeAM\Support\it_eula.txt » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\AGEIA Technologies\AGEIA_PhysX_Help.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Common Files\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/deploy/ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}/chrome.manifest » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Common Files\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Common Files\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Common Files\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Common Files\LightScribe\Content\Getting Started.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\eRightSoft\SUPER\mencoder\mencoder.exe » tElock v0.98 - chyba při extrakci
C:\Program Files\eRightSoft\SUPER\mencoder\mplayer.exe » tElock v0.98 - chyba při extrakci
C:\Program Files\Google\Google Earth\res\flightsim\controller\genius_maxfighter_f16u.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_attack3.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_extreme_3d.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_force_3d.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_freedom.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\saitek_cyborg_evo.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\saitek_x52.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_black_hawk.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_black_widow.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_cougar_flightstick.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_dark_tornado.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Google\Google Earth\res\flightsim\controller\xbox_360.ini » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Java\jre1.6.0_05\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}/chrome.manifest » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Mozilla Firefox\chrome\browser.manifest » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Mozilla Firefox\chrome\comm.manifest » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Mozilla Firefox\chrome\pippki.manifest » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Mozilla Firefox\chrome\reporter.manifest » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Mozilla Firefox\chrome\toolkit.manifest » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\chrome.manifest » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\root.img » GZIP » - poškozený archiv
C:\Program Files\Nero\Nero8\Nero Burning Rom\CDI\CDI_VCD.CFG » MIME - je v pořádku (nezkontrolováno uvnitř)
C:\WINDOWS\system32\config\default - chyba při otevírání [4]
C:\WINDOWS\system32\config\default.LOG - chyba při otevírání [4]
C:\WINDOWS\system32\config\SAM - chyba při otevírání [4]
C:\WINDOWS\system32\config\SAM.LOG - chyba při otevírání [4]
C:\WINDOWS\system32\config\SECURITY - chyba při otevírání [4]
C:\WINDOWS\system32\config\SECURITY.LOG - chyba při otevírání [4]
C:\WINDOWS\system32\config\software - chyba při otevírání [4]
C:\WINDOWS\system32\config\software.LOG - chyba při otevírání [4]
C:\WINDOWS\system32\config\system - chyba při otevírání [4]
C:\WINDOWS\system32\config\system.LOG - chyba při otevírání [4]
C:\WINDOWS\system32\drivers\dtscsi.sys - chyba při otevírání [4]
C:\WINDOWS\system32\drivers\sptd.sys - chyba při otevírání [4]
C:\WINDOWS\system32\drivers\sptd1965.sys - chyba při otevírání [4]
MBR sektor 1. fyzického disku - Win32/Mebroot.K trojský kůň
D:\ - chyba při otevírání [4]
MBR sektor 1. fyzického disku - Win32/Mebroot.K trojský kůň
E:\aktualizace programu\bsplayer212.941_clip.exe » NSIS » cmdline.txt » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\cdex_151.exe » NSIS - soubor má chybný kontrolní součet (CRC), může být poškozen
E:\aktualizace programu\KazaaLiteResurrection3CZ_install.exe » RAR » KazaaLiteResurrection3CZ.exe - Soubor má chybný kontrolní součet (CRC), pravděpodobně je chráněn heslem.
E:\aktualizace programu\KazaaLiteResurrection3CZ_install.exe » RAR » update3b.exe - Soubor má chybný kontrolní součet (CRC), pravděpodobně je chráněn heslem.
E:\aktualizace programu\mts15full_cz.exe » NSIS - špatný archiv
E:\aktualizace programu\ICQ\icqpro2003b.exe » WISE » StandardClient.emo - poškozený archiv
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg3.cab » CAB » visitor.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » MultiStatusBar.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » OutputWindow.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » Percolator.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » ReplaceDialog.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » ScrolledList.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » SearchDialog.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » SearchDialogBase.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » WidgetRedirector.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » WindowList.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » whatsound.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » double_const.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » testtar.tar » TAR » - poškozený archiv
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_bufio.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_cgi.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_codecs.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_contains.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_dis.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_extcall.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_format.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_funcattrs.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_future3.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_gc.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_gzip.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_import.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_linuxaudiodev.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_locale.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_long.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_long_future.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_marshal.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_mmap.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_mutants.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_new.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_nis.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_normalization.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_ossaudiodev.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_quopri.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_regex.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_scope.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_softspace.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_sort.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_struct.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_structseq.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_sunaudiodev.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_symtable.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_time.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_timing.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_tokenize.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_unpack.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_urllib2.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_wave.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\aktualizace programu\open office\OOo_2.0.4_060929_Win32Intel_install_cs.exe » NSIS » openofficeorg4.cab » CAB » test_xreadline.py » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\Confidential\SpaceInvadersOpenGL-0.6.0-Installer.exe » NSIS - špatný archiv
E:\CZU\5 semestr\Provozuschopnost strojů\studie poškození\Google - obrázky pro http--web1_vattnet_com-maskin1-maskin-volvo-bm218_jpg.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\CZU\5 semestr\Provozuschopnost strojů\studie poškození\volvo.zip » ZIP » Google - obr zky pro http--web1_vattnet_com-maskin1-maskin-volvo-bm218_jpg.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\CZU\7 semestr\Automobilové motory\Vypocet loziska.part1.rar » RAR » DSCF8145.jpg - nelze najít další část archivu
E:\CZU\7 semestr\Management a marketing\od Toma Smrže\Management (Kala).rar » RAR » Management (Kala)\Management.eml » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\CZU\7 semestr\Management a marketing\od Toma Smrže\Management (Kala)\Management.eml » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\CZU\Statnice SMAD\Otázky _na_diplomovou_zkoušku_CD Honza Rulík\Statnice.rar » RAR » St tnice\diag\11 Diagnostick‚ postupy.doc - poškozený archiv
E:\dokumenty\Baráček\nepotřebné\HLC\mail.txt » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\dokumenty\CZU\5 semestr\Provozuschopnost strojů\studie poškození\Google - obrázky pro http--web1_vattnet_com-maskin1-maskin-volvo-bm218_jpg.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\dokumenty\CZU\5 semestr\Provozuschopnost strojů\studie poškození\volvo.zip » ZIP » Google - obr zky pro http--web1_vattnet_com-maskin1-maskin-volvo-bm218_jpg.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\dokumenty\CZU\7 semestr\Automobilové motory\Vypocet loziska.part1.rar » RAR » DSCF8145.jpg - nelze najít další část archivu
E:\dokumenty\CZU\7 semestr\Management a marketing\od Toma Smrže\Management (Kala).rar » RAR » Management (Kala)\Management.eml » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\dokumenty\CZU\7 semestr\Management a marketing\od Toma Smrže\Management (Kala)\Management.eml » MIME - je v pořádku (nezkontrolováno uvnitř)
E:\dokumenty\CZU\Statnice SMAD\Otázky _na_diplomovou_zkoušku_CD Honza Rulík\Statnice.rar » RAR » St tnice\diag\11 Diagnostick‚ postupy.doc - poškozený archiv
E:\dokumenty\Word dokumenty\LUKAS-diplomka\p\final.rar » RAR » uvod a cela prace.doc - nelze najít další část archivu
E:\LUK\Absolventska prace\final.rar » RAR » uvod a cela prace.doc - nelze najít další část archivu
E:\stary HDD-Duron\Dokumenty\DIPLOMOVA PRACE\FINAL\final.rar » RAR » uvod a cela prace.doc - nelze najít další část archivu
MBR sektor 1. fyzického disku - Win32/Mebroot.K trojský kůň - chyba při léčení - akce není povolena pro tento typ objektu
F:\Hudba\T - Z\Tri_sestry - Do_Evropy_nechceme\Texty k albu Do Evropy nechceme - Tři sestry a Krakonoš.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
F:\Hudba\T - Z\Tri_sestry - Do_Evropy_nechceme\Tři sestry - Do Evropy nechceme.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
F:\záloha HDD\D\CZU\5 semestr\Provozuschopnost strojů\studie poškození\Google - obrázky pro http--web1_vattnet_com-maskin1-maskin-volvo-bm218_jpg.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
F:\záloha HDD\D\CZU\5 semestr\Provozuschopnost strojů\studie poškození\volvo.zip » ZIP » Google - obr zky pro http--web1_vattnet_com-maskin1-maskin-volvo-bm218_jpg.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
F:\záloha HDD\D\CZU\7 semestr\Automobilové motory\Vypocet loziska.part1.rar » RAR » DSCF8145.jpg - nelze najít další část archivu
F:\záloha HDD\D\CZU\7 semestr\Management a marketing\od Toma Smrže\Management (Kala).rar » RAR » Management (Kala)\Management.eml » MIME - je v pořádku (nezkontrolováno uvnitř)
F:\záloha HDD\D\CZU\7 semestr\Management a marketing\od Toma Smrže\Management (Kala)\Management.eml » MIME - je v pořádku (nezkontrolováno uvnitř)
F:\záloha HDD\D\CZU\Statnice SMAD\Otázky _na_diplomovou_zkoušku_CD Honza Rulík\Statnice.rar » RAR » St tnice\diag\11 Diagnostick‚ postupy.doc - poškozený archiv
MBR sektor 1. fyzického disku - Win32/Mebroot.K trojský kůň
G:\Baráček\nepotřebné\HLC\mail.txt » MIME - je v pořádku (nezkontrolováno uvnitř)
MBR sektor 1. fyzického disku - Win32/Mebroot.K trojský kůň - chyba při léčení - akce není povolena pro tento typ objektu
H:\instalace\ScreenShots.exe » NSIS - špatný archiv
H:\Meteor\screen shots\ScreenShots.exe » NSIS - špatný archiv
H:\Meteor\Modul 2\další soubory\výpočet hmotnosti vzduchu.mht » MIME - je v pořádku (nezkontrolováno uvnitř)
Počet zkontrolovaných objektů: 604442
Počet nalezených infiltrací: 6
Počet vyléčených objektů:0
Čas ukončení: 18:14:34 Celkový čas diagnostiky: 15489 sek (04:18:09)

Poznámky:
[4] Objekt nelze otevřít ke čtení. Je využíván jinou aplikací (nebo operačním systémem), která ho otevřela výhradně pro sebe.

Jinak přikládám ještě log MWAV před započetím léčebných aktivit (1 den starý):
Soubor E:\aktualizace programu\artisanplayer.exe//data0014 byl indentifikován jako "not-a-virus:Server-Proxy.Win32.MarketScore.k". Ponecháno, neodstraněno!
Soubor E:\aktualizace programu\bsplayer212.941_clip.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Ponecháno, neodstraněno!.
Soubor E:\aktualizace programu\ca_setup.exe//WISE0023.BIN//UPX byl indentifikován jako "not-a-virus:PSWTool.Win32.Cain.284". Ponecháno, neodstraněno!
Soubor E:\aktualizace programu\DSPlayer_v0.888_free.exe//file002 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Ponecháno, neodstraněno!.
Soubor F:\System Volume Information\_restore{B082414D-E877-44CE-842F-27743C8C4862}\RP4\A0002159.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Ponecháno, neodstraněno!.
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037096.exe//data0014 byl indentifikován jako "not-a-virus:Server-Proxy.Win32.MarketScore.k". Ponecháno, neodstraněno!
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037098.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Ponecháno, neodstraněno!.
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037100.exe//WISE0023.BIN//UPX byl indentifikován jako "not-a-virus:PSWTool.Win32.Cain.284". Ponecháno, neodstraněno!
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037114.exe//file002 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Ponecháno, neodstraněno!.

Infokované soubory z disku E: jsem ručně smazal (pouze shift+delete).

[stell]

ok>Takze MEBROOT MAS NA F:\
Pojdes na konzolu a zadas prikaz:
fixmbr \device\harddisk1 presne takto vsimni si ze za fixmbr je medzera

Potom ak uz budes vo Windows spust:program mbr.exe a loz sem log.

[lukyluk]

Splněno do posledního puntíku a přesto stále:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x25429800 size 0x2c3 !
copy of MBR has been found in sector 62 !

Nejsem si jistý tím harddisk1 - ve správci disků je tak sice detekován F:, ale když dám konzoli pro zotavení a zadám pouze fixmbr, což by mělo opravit C: tak to napíše, že záznam byl úspěšně napraven na harddisk1\partition0. Není tedy F: v konzoli označen jako harddisk2?

[stell]

ok;
Teda vrat sa zpat:a zadaj prikaz
fixmbr \device\harddisk0

[lukyluk]

Stále to samé (fixmbr hdd0, hdd1, hdd0\partition1):

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x25429800 size 0x2c3 !
copy of MBR has been found in sector 62 !

[lukyluk]

Tak přeci jenom nějaký posun. GMER sice hlásí stále stejný problém, ale NOD už nic nedetekuje (projel jsem volitelnou kontrolu pouze boot sektorů všech HDD). Nevím tedy jestli je to pryč celé. Toto se stalo i před měsícem kdy jsem pomocí fixmbr odstranil Win32/Mebroot.H a NOD jí po té nedetekoval, ale zřejmě nebylo vše OK, když po měsíci se objevila jiná nákaza.

Co dál?

[stell]

Ok spust este aj tento program:

No bude to tvrdy oriesok.No ty mas Fyzicke disky len C:\ a F:\ E:\je logicky disk.NOD jednoznacne pise ze MEBROOT je na Fyzickom disku:

MBR sektor 1. fyzického disku - Win32/Mebroot.K trojský kůň

Ok:
Teraz ti dam jeden program:
http://download.norman.no/public/Norman ... leaner.exe
Ulozis ho na plochu a spustis>po skonceni je nutny restart a zacne sa cistiaci proces.
Potom vloz log MBR.exe+GMER>log