Win32/Mebroot.K
Napsal: 11 črc 2008 14:06
Zdravím vás,
NOD32 mi hlásí napadení:
boot sektor MBR sektor 0. fyzického disku Win32/Mebroot.K
někdy toto napadení hlásí v sektoru 1. a také v sektoru 2.
Pro zbavení této havěti jsem udělal následující:
1. pomocí konzole pro zotavení FIXMBR - nepomohlo
2. FixMebroot nenašel žádného aktivního trojana
3. Spustil jsem dvakrát scan and clean v programu MWAV (viz. log)
4. Spustil jsem ComboFix (viz. log)
5. Spustil jsem Gmer (viz. log)
6. Přikládám též závěrečný log z HijackThis
Při volitelné kontrole PC NODem mi NOD nachází zmíněnou havěť v boot sektorech všech připojených disků (HDD, USB HDD, USB Flash a dokonce i na CD vloženém do mechaniky) v současné době v sektoru 2.
První nákaza PC byla:
7.6.2008 14:08:59 boot sektor MBR sektor 0. fyzického disku Win32/Mebroot.H
Předem děkuji za vaši laskavou pomoc.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "winfixer/errorsafe Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Záznam "HKCR\AcroExch.ShortCut.3" odkazuje na neplatný objekt "{F70B7CFD-8B9A-0584-729D-D481C1F1164E}". Provedené akce: Záznam odstraněn.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "". Provedené akce: Záznam odstraněn.
Záznam "HKLM\Software\Microsoft\Shared Tools\DAO" odkazuje na neplatný objekt "C:\Program Files\Common Files\Microsoft Shared\DAO". Provedené akce: Záznam odstraněn.
Soubor F:\System Volume Information\_restore{B082414D-E877-44CE-842F-27743C8C4862}\RP4\A0002159.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037096.exe//data0014 byl indentifikován jako "not-a-virus:Server-Proxy.Win32.MarketScore.k". Ponecháno, neodstraněno!
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037098.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037100.exe//WISE0023.BIN//UPX byl indentifikován jako "not-a-virus:PSWTool.Win32.Cain.284". Ponecháno, neodstraněno!
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037114.exe//file002 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.
ComboFix 08-07-10.1 - Lukas a Misa 2008-07-11 14:06:01.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.1533 [GMT 2:00]
Running from: C:\Documents and Settings\Lukas a Misa\Plocha\ComboFix.exe
* Created a new restore point
* Resident AV is active
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
((((((((((((((((((((((((( Files Created from 2008-06-11 to 2008-07-11 )))))))))))))))))))))))))))))))
.
2008-07-11 14:01 . 2008-07-11 14:02 <DIR> d-------- C:\Program Files\HiJack this
2008-07-11 07:42 . 2008-07-11 07:42 6,447,257 --a------ C:\WINDOWS\REGBK00.ZIP
2008-07-10 22:09 . 2008-07-11 12:46 95 --a------ C:\23990098.$$$
2008-07-10 17:05 . 2008-07-10 17:05 <DIR> d-------- C:\Program Files\CCleaner
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-07-10 16:59 . 2008-07-11 13:25 50 --a------ C:\WINDOWS\Lic.xxx
2008-07-10 16:58 . 2008-04-14 05:22 147,968 --a------ C:\WINDOWS\R.COM
2008-07-10 16:58 . 2008-04-14 05:22 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-07-09 20:22 . 2008-07-09 20:22 142,096 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-07-09 19:26 . 2008-07-09 19:30 <DIR> d-------- C:\Documents and Settings\Lukas a Misa\DoctorWeb
2008-07-07 21:16 . 2008-07-07 21:16 <DIR> d-------- C:\Program Files\Common Files\Nikon
2008-07-07 07:29 . 2008-07-07 07:29 <DIR> d-------- C:\Program Files\Common Files\Logishrd
2008-07-07 07:29 . 2008-05-02 02:38 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll
2008-07-07 07:29 . 2008-07-07 07:29 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-06-13 14:13 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-06-13 14:13 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-06-13 14:13 . 2007-03-08 07:09 1,024,000 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-06-13 14:13 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-06-13 14:13 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-06-13 14:13 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-06-13 14:13 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-06-13 14:13 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-06-13 14:13 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-13 14:12 . 2008-04-14 18:00 272,128 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-13 14:12 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-13 14:06 . 2004-08-17 15:49 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\system32\cs
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\system32\bits
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\l2schemas
2008-06-13 14:00 . 2008-06-13 14:00 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-06-13 08:42 . 2008-06-13 08:42 <DIR> d-------- C:\Program Files\AviSynth 2.5
2008-06-13 08:42 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2008-06-13 08:42 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2008-06-13 08:42 . 2008-02-07 16:15 408,576 --a------ C:\WINDOWS\system32\Smab.dll
2008-06-13 08:42 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2008-06-13 08:42 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2008-06-13 08:42 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2008-06-13 08:42 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-06-13 08:42 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2008-06-13 08:42 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2008-06-13 08:42 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2008-06-13 08:40 . 2008-06-13 08:40 <DIR> d-------- C:\Program Files\eRightSoft
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 11:30 --------- d-----w C:\Program Files\DScaler
2008-07-11 05:43 --------- d-----w C:\Program Files\PowerISO
2008-07-07 05:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-07 05:29 --------- d-----w C:\Program Files\Common Files\Logitech
2008-07-01 18:12 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 5
2008-06-13 12:05 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd1965.sys
2008-06-08 19:01 --------- d-----w C:\Program Files\Common Files\SolidWorks Shared
2008-06-08 19:01 --------- d-----w C:\Program Files\Common Files\eDrawings2008
2008-06-05 19:35 --------- d-----w C:\Program Files\ASUS WiFi-AP Solo
2008-05-18 16:40 --------- d-----w C:\Program Files\Pinnacle
2008-05-18 16:16 --------- d-----w C:\Program Files\BIAS
2008-05-18 16:13 --------- d-----w C:\Program Files\proDAD
2008-05-18 16:12 --------- d-----w C:\Program Files\AdorageI-SAL
2008-05-18 16:12 --------- d-----w C:\Program Files\AdorageI-GfxDatas
2008-05-18 15:57 --------- d-----w C:\Program Files\DIFX
2008-04-14 03:22 69,632 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 03:22 50,688 ----a-w C:\WINDOWS\twain_32.dll
2008-04-14 03:22 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 03:22 283,648 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 03:22 147,968 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 03:22 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 03:22 1,034,240 ----a-w C:\WINDOWS\explorer.exe
2008-04-14 03:21 451,072 ----a-w C:\WINDOWS\AppPatch\aclayers.dll
2008-04-14 03:21 39,424 ----a-w C:\WINDOWS\AppPatch\acadproc.dll
2008-04-14 03:21 245,248 ----a-w C:\WINDOWS\AppPatch\acspecfc.dll
2008-04-14 03:21 141,312 ----a-w C:\WINDOWS\AppPatch\aclua.dll
2008-04-14 03:21 116,224 ----a-w C:\WINDOWS\AppPatch\acxtrnal.dll
2008-04-14 03:21 1,852,928 ----a-w C:\WINDOWS\AppPatch\acgenral.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 05:22 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-09-20 16:35 202024]
"LightScribe Control Panel"="C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 17:36 455968]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 14:06 40048]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 09:21 1443072]
"BDRegion"="C:\Program Files\Cyberlink\Shared Files\brs.exe" [2007-11-16 16:50 91432]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 07:05 72736]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 09:36 62760]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 10:51 1836328]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"KTSInit"="C:\Programme\Bosch\ESItronic\KTS500\ph_test.exe" [2006-08-04 08:17 1081856]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 03:12 76304 C:\WINDOWS\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 05:22 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Program Files\Common Files\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.divxa32"= msaud32_divx.acm
"VIDC.MJPG"= Pvmjpg30.dll
"vidc.yv12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\ICQ6\\ICQ.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"C:\\Program Files\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2007-12-21 09:21]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2007-11-02 21:42]
R2 ATIBTCAP;ATI TV Wonder Video Capture;C:\WINDOWS\system32\drivers\atibtcap.sys [2002-11-05 00:00]
R2 ATIBTXBAR;ATI TV Wonder Video Crossbar;C:\WINDOWS\system32\drivers\atibtxbr.sys [2002-11-05 00:00]
R2 ATIVTUTW;ATI TV Wonder TV Tuner;C:\WINDOWS\system32\drivers\ativtutw.sys [2002-11-05 00:00]
R2 ATIVXSTW;ATI TV Wonder Audio Crossbar;C:\WINDOWS\system32\drivers\ativxstw.sys [2002-11-05 00:00]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2008-04-13 20:56]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 09:30]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 14:09:59
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Completion time: 2008-07-11 14:17:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-11 12:16:52
Adresářů: 11, Volných bajtů: 22,722,162,688
Adres ý…: 13, Volněch bajt…: 22,981,615,616
192
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-11 14:53:09
Windows 5.1.2600 Service Pack 3
---- Disk sectors - GMER 1.0.14 ----
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x25429800 size 0x2c3
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
---- Devices - GMER 1.0.14 ----
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys
---- EOF - GMER 1.0.14 ----
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:18, on 11.7.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJack this\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KTSInit] "C:\Programme\Bosch\ESItronic\KTS500\ph_test.exe" -timeout=10 -inithardware
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
--
End of file - 9283 bytes
NOD32 mi hlásí napadení:
boot sektor MBR sektor 0. fyzického disku Win32/Mebroot.K
někdy toto napadení hlásí v sektoru 1. a také v sektoru 2.
Pro zbavení této havěti jsem udělal následující:
1. pomocí konzole pro zotavení FIXMBR - nepomohlo
2. FixMebroot nenašel žádného aktivního trojana
3. Spustil jsem dvakrát scan and clean v programu MWAV (viz. log)
4. Spustil jsem ComboFix (viz. log)
5. Spustil jsem Gmer (viz. log)
6. Přikládám též závěrečný log z HijackThis
Při volitelné kontrole PC NODem mi NOD nachází zmíněnou havěť v boot sektorech všech připojených disků (HDD, USB HDD, USB Flash a dokonce i na CD vloženém do mechaniky) v současné době v sektoru 2.
První nákaza PC byla:
7.6.2008 14:08:59 boot sektor MBR sektor 0. fyzického disku Win32/Mebroot.H
Předem děkuji za vaši laskavou pomoc.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "winfixer/errorsafe Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Záznam "HKCR\AcroExch.ShortCut.3" odkazuje na neplatný objekt "{F70B7CFD-8B9A-0584-729D-D481C1F1164E}". Provedené akce: Záznam odstraněn.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "". Provedené akce: Záznam odstraněn.
Záznam "HKLM\Software\Microsoft\Shared Tools\DAO" odkazuje na neplatný objekt "C:\Program Files\Common Files\Microsoft Shared\DAO". Provedené akce: Záznam odstraněn.
Soubor F:\System Volume Information\_restore{B082414D-E877-44CE-842F-27743C8C4862}\RP4\A0002159.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037096.exe//data0014 byl indentifikován jako "not-a-virus:Server-Proxy.Win32.MarketScore.k". Ponecháno, neodstraněno!
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037098.exe//data0012 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037100.exe//WISE0023.BIN//UPX byl indentifikován jako "not-a-virus:PSWTool.Win32.Cain.284". Ponecháno, neodstraněno!
Soubor F:\System Volume Information\_restore{FD9B0907-E5B1-460C-84F5-43FD11C39B7D}\RP96\A0037114.exe//file002 indentifikován jako "not-a-virus:AdTool.Win32.WhenU.a". Provedené akce: Smazáno!.
ComboFix 08-07-10.1 - Lukas a Misa 2008-07-11 14:06:01.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.1533 [GMT 2:00]
Running from: C:\Documents and Settings\Lukas a Misa\Plocha\ComboFix.exe
* Created a new restore point
* Resident AV is active
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
((((((((((((((((((((((((( Files Created from 2008-06-11 to 2008-07-11 )))))))))))))))))))))))))))))))
.
2008-07-11 14:01 . 2008-07-11 14:02 <DIR> d-------- C:\Program Files\HiJack this
2008-07-11 07:42 . 2008-07-11 07:42 6,447,257 --a------ C:\WINDOWS\REGBK00.ZIP
2008-07-10 22:09 . 2008-07-11 12:46 95 --a------ C:\23990098.$$$
2008-07-10 17:05 . 2008-07-10 17:05 <DIR> d-------- C:\Program Files\CCleaner
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-07-10 16:59 . 2008-07-10 16:59 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-07-10 16:59 . 2008-07-11 13:25 50 --a------ C:\WINDOWS\Lic.xxx
2008-07-10 16:58 . 2008-04-14 05:22 147,968 --a------ C:\WINDOWS\R.COM
2008-07-10 16:58 . 2008-04-14 05:22 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-07-09 20:22 . 2008-07-09 20:22 142,096 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-07-09 19:26 . 2008-07-09 19:30 <DIR> d-------- C:\Documents and Settings\Lukas a Misa\DoctorWeb
2008-07-07 21:16 . 2008-07-07 21:16 <DIR> d-------- C:\Program Files\Common Files\Nikon
2008-07-07 07:29 . 2008-07-07 07:29 <DIR> d-------- C:\Program Files\Common Files\Logishrd
2008-07-07 07:29 . 2008-05-02 02:38 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll
2008-07-07 07:29 . 2008-07-07 07:29 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-06-13 14:13 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-06-13 14:13 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-06-13 14:13 . 2007-03-08 07:09 1,024,000 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-06-13 14:13 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-06-13 14:13 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-06-13 14:13 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-06-13 14:13 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-06-13 14:13 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-06-13 14:13 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-13 14:12 . 2008-04-14 18:00 272,128 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-13 14:12 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-13 14:06 . 2004-08-17 15:49 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\system32\cs
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\system32\bits
2008-06-13 14:02 . 2008-06-13 14:02 <DIR> d-------- C:\WINDOWS\l2schemas
2008-06-13 14:00 . 2008-06-13 14:00 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-06-13 08:42 . 2008-06-13 08:42 <DIR> d-------- C:\Program Files\AviSynth 2.5
2008-06-13 08:42 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2008-06-13 08:42 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2008-06-13 08:42 . 2008-02-07 16:15 408,576 --a------ C:\WINDOWS\system32\Smab.dll
2008-06-13 08:42 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2008-06-13 08:42 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2008-06-13 08:42 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2008-06-13 08:42 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-06-13 08:42 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2008-06-13 08:42 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2008-06-13 08:42 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2008-06-13 08:40 . 2008-06-13 08:40 <DIR> d-------- C:\Program Files\eRightSoft
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 11:30 --------- d-----w C:\Program Files\DScaler
2008-07-11 05:43 --------- d-----w C:\Program Files\PowerISO
2008-07-07 05:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-07 05:29 --------- d-----w C:\Program Files\Common Files\Logitech
2008-07-01 18:12 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 5
2008-06-13 12:05 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd1965.sys
2008-06-08 19:01 --------- d-----w C:\Program Files\Common Files\SolidWorks Shared
2008-06-08 19:01 --------- d-----w C:\Program Files\Common Files\eDrawings2008
2008-06-05 19:35 --------- d-----w C:\Program Files\ASUS WiFi-AP Solo
2008-05-18 16:40 --------- d-----w C:\Program Files\Pinnacle
2008-05-18 16:16 --------- d-----w C:\Program Files\BIAS
2008-05-18 16:13 --------- d-----w C:\Program Files\proDAD
2008-05-18 16:12 --------- d-----w C:\Program Files\AdorageI-SAL
2008-05-18 16:12 --------- d-----w C:\Program Files\AdorageI-GfxDatas
2008-05-18 15:57 --------- d-----w C:\Program Files\DIFX
2008-04-14 03:22 69,632 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 03:22 50,688 ----a-w C:\WINDOWS\twain_32.dll
2008-04-14 03:22 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 03:22 283,648 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 03:22 147,968 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 03:22 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 03:22 1,034,240 ----a-w C:\WINDOWS\explorer.exe
2008-04-14 03:21 451,072 ----a-w C:\WINDOWS\AppPatch\aclayers.dll
2008-04-14 03:21 39,424 ----a-w C:\WINDOWS\AppPatch\acadproc.dll
2008-04-14 03:21 245,248 ----a-w C:\WINDOWS\AppPatch\acspecfc.dll
2008-04-14 03:21 141,312 ----a-w C:\WINDOWS\AppPatch\aclua.dll
2008-04-14 03:21 116,224 ----a-w C:\WINDOWS\AppPatch\acxtrnal.dll
2008-04-14 03:21 1,852,928 ----a-w C:\WINDOWS\AppPatch\acgenral.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 05:22 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-09-20 16:35 202024]
"LightScribe Control Panel"="C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 17:36 455968]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 14:06 40048]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 09:21 1443072]
"BDRegion"="C:\Program Files\Cyberlink\Shared Files\brs.exe" [2007-11-16 16:50 91432]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 07:05 72736]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 09:36 62760]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 10:51 1836328]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"KTSInit"="C:\Programme\Bosch\ESItronic\KTS500\ph_test.exe" [2006-08-04 08:17 1081856]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 03:12 76304 C:\WINDOWS\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 05:22 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Program Files\Common Files\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.divxa32"= msaud32_divx.acm
"VIDC.MJPG"= Pvmjpg30.dll
"vidc.yv12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\ICQ6\\ICQ.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"C:\\Program Files\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2007-12-21 09:21]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2007-11-02 21:42]
R2 ATIBTCAP;ATI TV Wonder Video Capture;C:\WINDOWS\system32\drivers\atibtcap.sys [2002-11-05 00:00]
R2 ATIBTXBAR;ATI TV Wonder Video Crossbar;C:\WINDOWS\system32\drivers\atibtxbr.sys [2002-11-05 00:00]
R2 ATIVTUTW;ATI TV Wonder TV Tuner;C:\WINDOWS\system32\drivers\ativtutw.sys [2002-11-05 00:00]
R2 ATIVXSTW;ATI TV Wonder Audio Crossbar;C:\WINDOWS\system32\drivers\ativxstw.sys [2002-11-05 00:00]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2008-04-13 20:56]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 09:30]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 14:09:59
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Completion time: 2008-07-11 14:17:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-11 12:16:52
Adresářů: 11, Volných bajtů: 22,722,162,688
Adres ý…: 13, Volněch bajt…: 22,981,615,616
192
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-11 14:53:09
Windows 5.1.2600 Service Pack 3
---- Disk sectors - GMER 1.0.14 ----
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x25429800 size 0x2c3
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
---- Devices - GMER 1.0.14 ----
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys
---- EOF - GMER 1.0.14 ----
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:18, on 11.7.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJack this\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KTSInit] "C:\Programme\Bosch\ESItronic\KTS500\ph_test.exe" -timeout=10 -inithardware
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
--
End of file - 9283 bytes