Prosím o kontrolu logu

[schizi]

Zdravím,
chtěl bych poprosit o kntrolu logu. Včéra byl PC nejspíše zavirovaný, jelikož se vždy po minutě automaticky restartoval. Antivir našel nějakou havěť ale nestihl ji před restartováním odstranit. Takže jsem dal Obnovu systemu Windows - která jej obnovila do nějakého předchozího stavu. Nyní se nerestartuje, antivir mi nic nenajde, ale Search and Destroy nějaké věci hlásí s tím že je nemůže odstranit...

Log je moc velký, takže posílám odkaz: https://docs.google.com/open?id=0BwP2DQ ... ngzMTRCenM

Předem děkuji za pomoc

[vyosek]

Zdravim a pekny den preji

Dalsi logy prosim vkladejte zde - rozdelujte je do vice prispevku

Doporucuji odinstalovat Spybot - Search & Destroy - program ma uz nejlepsi leta davno za sebou a posledni cca 3 roky neni schopen celit aktualnim hrozbam

• Nahrady za Spybota:
  • Spyware Terminator - info o nem http://www.viry.cz/forum/viewtopic.php?f=29&t=44730
  • SuperAntiSpyare - info o nem http://www.viry.cz/forum/viewtopic.php?f=29&t=51359
• Samozrejme pouzivejte jen jeden z nich
• Osobne doporucuji SuperAntiSpyware

Stahnete RogueKiller http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

• Ukoncete vsechny programy
• Pokud pouzivate Win Vista ci W7, kliknete na RogueKiller pravym a dejte Run As Administrator ci Spustit jako spravce
• Pockejte na dokonceni PreScanu
• Zvolte moznost Prohledat (scan)
• Po dokonceni skenu kliknete na Zpráva (Report)- otevre se log, ten sem vlozte

[schizi]

RogueKiller V7.6.2 [07/02/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Podpora: http://www.geekstogo.com/forum/files/fi ... guekiller/
Operační systém: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Spuštěno v: Normální režim
Uživatel: Míša [Práva správce]
Mód: Kontrola -- Datum: 07/07/2012 10:59:00

¤¤¤ Škodlivé procesy: 0 ¤¤¤

¤¤¤ Záznamy Registrů: 4 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Zvláštní soubory / Složky: ¤¤¤
[ZeroAccess][FOLDER] L : c:\windows\installer\{c33cd888-235d-894e-950c-e33a9cf4e686}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\míša\appdata\local\{c33cd888-235d-894e-950c-e33a9cf4e686}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\míša\appdata\local\{c33cd888-235d-894e-950c-e33a9cf4e686}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\míša\appdata\local\{c33cd888-235d-894e-950c-e33a9cf4e686}\L --> FOUND

¤¤¤ Ovladač: [NAHRÁNO] ¤¤¤

¤¤¤ Nákaza : ZeroAccess ¤¤¤

¤¤¤ Soubor HOSTS: ¤¤¤


¤¤¤ Kontrola MBR: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545050B9A300 ATA Device +++++
--- User ---
Search and Destroy jsem odebral a nainstaluji si tedy doporučovaný. Dále zasílám log:

[MBR] 0e7906142ca10a57fe28a66094a07bbb
[BSP] a2a881e2ac1fddc470435be391780e99 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 100155 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 935127585 | Size: 20332 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 205117920 | Size: 356450 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Dokončeno : << RKreport[1].txt >>
RKreport[1].txt

[vyosek]

Spustte znovu RogueKiller

• Pokud pouzivate Win Vista ci W7, kliknete na RogueKiller pravym a dejte Run As Administrator ci Spustit jako spravce
• Zvolte moznost Prohledat a pote Smazat a nasledne Zprava - otevre se log, ten sem vlozte
• Pak kliknete na Oprava Host a Zprava - otevre se log, ten sem vlozte
• Pak kliknete na Oprava Proxy a Zprava - otevre se log, ten sem vlozte

[schizi]

Prozatím jsem projel pc s SuperAntiSpyware a nalezlo mi to 1 Critical a 464 Unwanted. Zatím jsem to nedal smazat, mám to provést?

Zde jsou logy:

RogueKiller V7.6.2 [07/02/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Podpora: http://www.geekstogo.com/forum/files/fi ... guekiller/
Operační systém: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Spuštěno v: Normální režim
Uživatel: Míša [Práva správce]
Mód: Odebrat -- Datum: 07/07/2012 13:11:07

¤¤¤ Škodlivé procesy: 0 ¤¤¤

¤¤¤ Záznamy Registrů: 4 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Zvláštní soubory / Složky: ¤¤¤
[ZeroAccess][FOLDER] L : c:\windows\installer\{c33cd888-235d-894e-950c-e33a9cf4e686}\L --> REMOVED
[ZeroAccess][FILE] @ : c:\users\míša\appdata\local\{c33cd888-235d-894e-950c-e33a9cf4e686}\@ --> REMOVED
[Del.Parent][FILE] 00000001.@ : c:\users\míša\appdata\local\{c33cd888-235d-894e-950c-e33a9cf4e686}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\users\míša\appdata\local\{c33cd888-235d-894e-950c-e33a9cf4e686}\U\80000000.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\míša\appdata\local\{c33cd888-235d-894e-950c-e33a9cf4e686}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\míša\appdata\local\{c33cd888-235d-894e-950c-e33a9cf4e686}\L --> REMOVED

¤¤¤ Ovladač: [NAHRÁNO] ¤¤¤

¤¤¤ Nákaza : ZeroAccess ¤¤¤

¤¤¤ Soubor HOSTS: ¤¤¤


¤¤¤ Kontrola MBR: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545050B9A300 ATA Device +++++
--- User ---
[MBR] 0e7906142ca10a57fe28a66094a07bbb
[BSP] a2a881e2ac1fddc470435be391780e99 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 100155 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 935127585 | Size: 20332 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 205117920 | Size: 356450 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Dokončeno : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt



RogueKiller V7.6.2 [07/02/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Podpora: http://www.geekstogo.com/forum/files/fi ... guekiller/
Operační systém: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Spuštěno v: Normální režim
Uživatel: Míša [Práva správce]
Mód: Oprava HOSTS -- Datum: 07/07/2012 13:11:49

¤¤¤ Škodlivé procesy: 0 ¤¤¤

¤¤¤ Ovladač: [NAHRÁNO] ¤¤¤

¤¤¤ Soubor HOSTS: ¤¤¤


¤¤¤ Resetovaný HOSTS: ¤¤¤
127.0.0.1 localhost

Dokončeno : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt



RogueKiller V7.6.2 [07/02/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Podpora: http://www.geekstogo.com/forum/files/fi ... guekiller/
Operační systém: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Spuštěno v: Normální režim
Uživatel: Míša [Práva správce]
Mód: Oprava Proxy -- Datum: 07/07/2012 13:12:24

¤¤¤ Škodlivé procesy: 0 ¤¤¤

¤¤¤ Ovladač: [NAHRÁNO] ¤¤¤

¤¤¤ Záznamy Registrů: 0 ¤¤¤

Dokončeno : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

[vyosek]

Zatim prosim nepodnikejejte zadne lecebne kroky (skeny, mazani...) sam...

Ja mam nejakou vizi a postup, kterym je mozne tuhle mrchu vylecit - jelikoz je tam velmi silny malware, ktery se obtizne leci...

Stahnete RKill http://download.bleepingcomputer.com/grinler/rkill.com

• Pokud ho havet blokuje, pouzijte jeden z nasledujicich

  Rkill EXE:
  http://download.bleepingcomputer.com/grinler/rkill.exe
  
  Rkill SCR:
  http://download.bleepingcomputer.com/grinler/rkill.scr
  
  Rkill PIF:
  http://download.bleepingcomputer.com/grinler/rkill.pif

• Ulozte nejlepena plochu a ukoncete vsechny aplikace (jinak to udela RKill za Vas)
• Spustte tradicne dvojklikem - program probehne temer okamzite a ukonci i svou cinnost
• RKill ukonci vsechny ne-systemove procesy - tedy i procesy, pod kterymi bezi havet
• Ted nerestartujte PC - prisli byste o ucinek RKillu

PROSIM CTETE DUKLADNE NAVOD - TATO UTILITA MA VELKOU SCHOPNOST MAZAT A JE NUTNE JI APLIKOVAT JEN NA DOPORUCENI, JINAK VAM MUZE JIT SYSTEM DO KYTEK
Stahnete a ulozte na plochu Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypnete vsechny rezidentni bezpecnostní programy - firewally, antiviry, antispywary apod.
• Pokud mate Win XP spustte pod uctem Spravce\Administratora
• Pokud mate Win Vista ci Win 7, kliknete na Combofix pravym a dejte Run As Administrator ci Spustit jako spravce
• Ihned po startu se zobrazi stranka s licencnim ujednanim, pokracujte kliknutim na Ano
• Pokud Vam CF nabidne instalaci Konzoly pro zotaveni, tak souhlaste
• Dale postupujte dle pokynu, behem scanu nechte PC naprosto v klidu - nespoustejte zadne aplikace a neklikejte do zobrazujiciho se okna
• Scan by mel trvat cca 10 min, ale pokud bude PC hodne zaneseno, muze se cas prodlouzit
• Po dokonceni skenu a pripadnem restartu CF zobrazi log, pripadne jej najdete zde C:\ComboFix.txt, jeho obsah sem vlozte
• Detailni postup vc. obrazku mate zde http://www.bleepingcomputer.com/combofi ... t-combofix

[schizi]

AntiSpyware jsem tedy vypnul a nic nemazal. Zasílám log z CF:

ComboFix 12-07-07.04 - Míša 07.07.2012 16:31:20.1.2 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1250.420.1029.18.3037.1833 [GMT 2:00]
Spuštěný z: c:\users\MÝÜa\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Spybot - Search and Destroy *Disabled/Updated* {1EAF1D03-5480-F3B2-EB14-11F0F5EE2699}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\MyWebSearch
c:\program files\MyWebSearch\bar\1.bin\MWSSVC.EXE_old
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-06-07 do 2012-07-07 )))))))))))))))))))))))))))))))
.
.
2012-07-07 14:38 . 2012-07-07 14:38 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-07 10:08 . 2012-07-07 10:08 56200 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{932943E4-6F49-4F2D-8772-A966BBE99304}\offreg.dll
2012-07-07 10:08 . 2012-07-07 10:08 29904 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{932943E4-6F49-4F2D-8772-A966BBE99304}\MpKsl75d62ad3.sys
2012-07-07 10:07 . 2012-05-30 18:41 6762896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{932943E4-6F49-4F2D-8772-A966BBE99304}\mpengine.dll
2012-07-07 09:02 . 2012-07-07 09:02 -------- d-----w- c:\users\Míša\AppData\Roaming\SUPERAntiSpyware.com
2012-07-07 09:01 . 2012-07-07 09:02 -------- d-----w- c:\program files\SUPERAntiSpyware
2012-07-07 09:01 . 2012-07-07 09:01 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2012-07-07 08:17 . 2012-07-07 08:18 -------- d-----w- c:\users\Míša\AppData\Roaming\FileZilla
2012-07-07 08:00 . 2012-07-07 08:00 -------- d-----w- c:\program files\trend micro
2012-07-07 08:00 . 2012-07-07 08:13 -------- d-----w- C:\rsit
2012-07-06 18:39 . 2012-07-06 18:39 -------- d-----w- c:\program files\CCleaner
2012-07-06 14:33 . 2012-07-06 14:33 -------- d-----w- c:\program files\Common Files\Java
2012-07-06 14:32 . 2012-07-06 14:32 476936 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-07-06 14:31 . 2012-07-06 14:31 -------- d-----w- c:\program files\Java
2012-07-06 14:31 . 2012-07-07 08:51 -------- d-----w- c:\program files\Spybot - Search & Destroy 2
2012-07-06 14:30 . 2012-07-06 14:30 -------- d-----w- c:\programdata\McAfee
2012-07-06 14:07 . 2012-07-06 17:50 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2012-07-06 14:07 . 2012-07-06 14:27 -------- d-----w- c:\program files\Spybot - Search & Destroy
2012-07-06 13:52 . 2012-02-10 14:26 713784 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{5C4BFA28-8D54-4B50-9B2C-49A04B561F54}\gapaengine.dll
2012-07-06 13:52 . 2012-05-30 18:41 6762896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-06-24 19:21 . 2012-06-24 19:28 -------- d-----w- c:\programdata\F4D55F3B0000A7BB003143F7B4EB23C1
2012-06-21 07:42 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-21 07:42 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-21 07:42 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-21 07:42 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-21 07:41 . 2012-06-02 13:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-21 07:41 . 2012-06-02 13:12 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-14 10:29 . 2012-04-28 03:17 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-14 10:29 . 2012-04-24 04:36 140288 ----a-w- c:\windows\system32\cryptsvc.dll
2012-06-14 10:29 . 2012-04-24 04:36 1158656 ----a-w- c:\windows\system32\crypt32.dll
2012-06-14 10:29 . 2012-04-24 04:36 103936 ----a-w- c:\windows\system32\cryptnet.dll
2012-06-14 10:28 . 2012-04-07 11:26 2342400 ----a-w- c:\windows\system32\msi.dll
2012-06-14 10:28 . 2012-05-15 01:05 2343936 ----a-w- c:\windows\system32\win32k.sys
2012-06-14 10:28 . 2012-04-26 04:45 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-06-14 10:28 . 2012-04-26 04:45 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-06-14 10:28 . 2012-04-26 04:41 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-06-14 10:28 . 2012-05-01 04:44 164352 ----a-w- c:\windows\system32\profsvc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-06 14:32 . 2011-01-27 17:11 472840 ----a-w- c:\windows\system32\deployJava1.dll
2012-05-30 20:59 . 2012-05-30 20:59 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2012-01-19 3477312]
"uTorrent"="d:\pfiles\uTorrent.exe" [2012-02-16 739704]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-06-26 3906432]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-06 13797920]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-12-11 1157640]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-11 1549608]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [x]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [x]
.
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - MPKSL75D62AD3
*NewlyCreated* - TRUESIGHT
*Deregistered* - TrueSight
.
Obsah adresáře 'Naplánované úlohy'
.
2012-07-07 c:\windows\Tasks\AutoKMS.job
- c:\windows\AutoKMS\AutoKMS.exe [2012-01-04 23:10]
.
2012-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-06 18:36]
.
2012-07-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-06 18:36]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000
IE: Od&eslat do aplikace OneNote - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105
TCP: DhcpNameServer = 10.0.0.138
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
URLSearchHooks-{687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)
.
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-163129407-1107901424-996626753-1000\Software\SecuROM\License information*]
"datasecu"=hex:07,52,88,0b,f0,d9,38,e5,20,af,e5,8f,f2,36,a4,31,60,4d,35,1c,d5,
4e,e1,c2,50,39,61,11,c1,46,08,e5,6d,76,27,8d,2d,0f,fe,5a,b6,23,e2,d1,25,2e,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Celkový čas: 2012-07-07 16:40:58
ComboFix-quarantined-files.txt 2012-07-07 14:40
.
Před spuštěním: Volných bajtů: 61 528 403 968
Po spuštění: Volných bajtů: 61 580 550 144
.
- - End Of File - - B0B91E5470859AE42B4E9041FB381EC0

[vyosek]

Pokud nemate, tak presunte Combofix primo na disk c:\

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  KillAll::
  
  Folder::
  c:\windows\AutoKMS
  c:\program files\Spybot - Search & Destroy 2
  c:\programdata\Spybot - Search & Destroy
  c:\program files\Spybot - Search & Destroy
  
  SecCenter::
  SP: Spybot - Search and Destroy *Disabled/Updated* {1EAF1D03-5480-F3B2-EB14-11F0F5EE2699}
  {1EAF1D03-5480-F3B2-EB14-11F0F5EE2699}
  
  DirLook::
  c:\programdata\F4D55F3B0000A7BB003143F7B4EB23C1
  
  Registry::
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "DAEMON Tools Lite"=-
  "uTorrent"=-
  "SUPERAntiSpyware"=-
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "SunJavaUpdateSched"=-
  "Adobe Reader Speed Launcher"="-
  "Adobe ARM"=-
  
  File::
  c:\windows\Tasks\AutoKMS.job
  c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
  c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
  
  RegNull::
  [HKEY_USERS\S-1-5-21-163129407-1107901424-996626753-1000\Software\SecuROM\License information*]
  
  RegLock::
  [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
  
  ClearJavaCache::
  
  Reboot::

• Ulozte vytvoreny TXT jako CFScript.txt tez primo na c:\
• Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
  
• Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

[schizi]

Dlaší log:
ComboFix 12-07-07.04 - Míša 07.07.2012 17:14:26.2.2 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1250.420.1029.18.3037.1776 [GMT 2:00]
Spuštěný z: C:\ComboFix.exe
Použité ovládací přepínače :: C:\CFScript.log
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\Tasks\AutoKMS.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Spybot - Search & Destroy 2
c:\program files\Spybot - Search & Destroy 2\DEC150.bpl
c:\program files\Spybot - Search & Destroy 2\Jcl150.bpl
c:\program files\Spybot - Search & Destroy 2\JSDialogPack150.bpl
c:\program files\Spybot - Search & Destroy 2\rtl150.bpl
c:\program files\Spybot - Search & Destroy 2\SDAdvancedCheckLibrary.dll
c:\program files\Spybot - Search & Destroy 2\SDECon32.dll
c:\program files\Spybot - Search & Destroy 2\SDFileScanLibrary.dll
c:\program files\Spybot - Search & Destroy 2\SDFSSvc.exe
c:\program files\Spybot - Search & Destroy 2\SDResources.dll
c:\program files\Spybot - Search & Destroy 2\SDTasks.dll
c:\program files\Spybot - Search & Destroy 2\SDWelcome.exe
c:\program files\Spybot - Search & Destroy 2\snlBase150.bpl
c:\program files\Spybot - Search & Destroy 2\snlThirdParty150.bpl
c:\program files\Spybot - Search & Destroy 2\sqlite3.dll
c:\program files\Spybot - Search & Destroy 2\UninsSrv.dll
c:\program files\Spybot - Search & Destroy 2\vcl150.bpl
c:\program files\Spybot - Search & Destroy 2\vclie150.bpl
c:\program files\Spybot - Search & Destroy 2\vclimg150.bpl
c:\program files\Spybot - Search & Destroy 2\vclx150.bpl
c:\program files\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy\advcheck.dll
c:\program files\Spybot - Search & Destroy\blindman.exe
c:\program files\Spybot - Search & Destroy\is-S2VGP.tmp
c:\program files\Spybot - Search & Destroy\messages.zres
c:\program files\Spybot - Search & Destroy\SDHelper.dll
c:\program files\Spybot - Search & Destroy\SDMain.exe
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\program files\Spybot - Search & Destroy\sqlite3.dll
c:\program files\Spybot - Search & Destroy\TeaTimer.exe
c:\program files\Spybot - Search & Destroy\unins000.dat
c:\program files\Spybot - Search & Destroy\unins000.exe
c:\program files\Spybot - Search & Destroy\UninsSrv.dll
c:\programdata\Spybot - Search & Destroy
c:\programdata\Spybot - Search & Destroy\Cleaning\120706-163209.xml
c:\programdata\Spybot - Search & Destroy\Cleaning\120706-200259.xml
c:\programdata\Spybot - Search & Destroy\Cleaning\120706-200454.xml
c:\programdata\Spybot - Search & Destroy\Cleaning\120706-233405.xml
c:\programdata\Spybot - Search & Destroy\Cleaning\120706-234125.xml
c:\programdata\Spybot - Search & Destroy\Cleaning\120707-095409.xml
c:\programdata\Spybot - Search & Destroy\ClientCount.bin
c:\programdata\Spybot - Search & Destroy\Configuration.ini
c:\programdata\Spybot - Search & Destroy\Logs\Firewall.log
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120706-171329.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120706-200356.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120706-233228.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120706-233512.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120706-233633.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120706-233750.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120706-234106.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120707-002556.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120707-103347.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.120707-103520.txt
c:\programdata\Spybot - Search & Destroy\Logs\Resident.log
c:\programdata\Spybot - Search & Destroy\Logs\Scanner.log
c:\programdata\Spybot - Search & Destroy\Logs\Update downloads.log
c:\programdata\Spybot - Search & Destroy\Logs\Updates.log
c:\programdata\Spybot - Search & Destroy\ProcCache.sbc
c:\windows\AutoKMS
c:\windows\AutoKMS\AutoKMS.exe
c:\windows\AutoKMS\AutoKMS.ini
c:\windows\AutoKMS\AutoKMS.log
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-06-07 do 2012-07-07 )))))))))))))))))))))))))))))))
.
.
2012-07-07 15:20 . 2012-07-07 15:27 -------- d-----w- c:\users\Míša\AppData\Local\temp
2012-07-07 10:08 . 2012-07-07 15:22 56200 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{932943E4-6F49-4F2D-8772-A966BBE99304}\offreg.dll
2012-07-07 10:08 . 2012-07-07 10:08 29904 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{932943E4-6F49-4F2D-8772-A966BBE99304}\MpKsl75d62ad3.sys
2012-07-07 10:07 . 2012-05-30 18:41 6762896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{932943E4-6F49-4F2D-8772-A966BBE99304}\mpengine.dll
2012-07-07 09:02 . 2012-07-07 09:02 -------- d-----w- c:\users\Míša\AppData\Roaming\SUPERAntiSpyware.com
2012-07-07 09:01 . 2012-07-07 09:02 -------- d-----w- c:\program files\SUPERAntiSpyware
2012-07-07 09:01 . 2012-07-07 09:01 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2012-07-07 08:17 . 2012-07-07 08:18 -------- d-----w- c:\users\Míša\AppData\Roaming\FileZilla
2012-07-07 08:00 . 2012-07-07 08:00 -------- d-----w- c:\program files\trend micro
2012-07-07 08:00 . 2012-07-07 08:13 -------- d-----w- C:\rsit
2012-07-06 18:39 . 2012-07-06 18:39 -------- d-----w- c:\program files\CCleaner
2012-07-06 14:33 . 2012-07-06 14:33 -------- d-----w- c:\program files\Common Files\Java
2012-07-06 14:32 . 2012-07-06 14:32 476936 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-07-06 14:31 . 2012-07-06 14:31 -------- d-----w- c:\program files\Java
2012-07-06 14:30 . 2012-07-06 14:30 -------- d-----w- c:\programdata\McAfee
2012-07-06 13:52 . 2012-02-10 14:26 713784 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{5C4BFA28-8D54-4B50-9B2C-49A04B561F54}\gapaengine.dll
2012-07-06 13:52 . 2012-05-30 18:41 6762896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-06-24 19:21 . 2012-06-24 19:28 -------- d-----w- c:\programdata\F4D55F3B0000A7BB003143F7B4EB23C1
2012-06-21 07:42 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-21 07:42 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-21 07:42 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-21 07:42 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-21 07:41 . 2012-06-02 13:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-21 07:41 . 2012-06-02 13:12 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-14 10:29 . 2012-04-28 03:17 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-14 10:29 . 2012-04-24 04:36 140288 ----a-w- c:\windows\system32\cryptsvc.dll
2012-06-14 10:29 . 2012-04-24 04:36 1158656 ----a-w- c:\windows\system32\crypt32.dll
2012-06-14 10:29 . 2012-04-24 04:36 103936 ----a-w- c:\windows\system32\cryptnet.dll
2012-06-14 10:28 . 2012-04-07 11:26 2342400 ----a-w- c:\windows\system32\msi.dll
2012-06-14 10:28 . 2012-05-15 01:05 2343936 ----a-w- c:\windows\system32\win32k.sys
2012-06-14 10:28 . 2012-04-26 04:45 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-06-14 10:28 . 2012-04-26 04:45 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-06-14 10:28 . 2012-04-26 04:41 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-06-14 10:28 . 2012-05-01 04:44 164352 ----a-w- c:\windows\system32\profsvc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-06 14:32 . 2011-01-27 17:11 472840 ----a-w- c:\windows\system32\deployJava1.dll
2012-05-30 20:59 . 2012-05-30 20:59 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\programdata\F4D55F3B0000A7BB003143F7B4EB23C1 ----
.
2012-06-24 19:21 . 2012-06-24 19:24 848 ----a-w- c:\programdata\F4D55F3B0000A7BB003143F7B4EB23C1\F4D55F3B0000A7BB003143F7B4EB23C1
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-06 13797920]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-12-11 1157640]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-11 1549608]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Kontrola sítě Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 MpKsl75d62ad3;MpKsl75d62ad3;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{932943E4-6F49-4F2D-8772-A966BBE99304}\MpKsl75d62ad3.sys [x]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [x]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [x]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE.EXE [x]
S2 nlsX86cc;Nalpeiron Licensing Service;c:\windows\system32\NlsSrv32.exe [x]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [x]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series – ovladač adaptéru pro 32bitový systém Windows Vista;c:\windows\system32\DRIVERS\netw5v32.sys [x]
.
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - WS2IFSL
.
Obsah adresáře 'Naplánované úlohy'
.
2012-07-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-06 18:36]
.
2012-07-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-06 18:36]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000
IE: Od&eslat do aplikace OneNote - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105
TCP: DhcpNameServer = 10.0.0.138
.
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\Microsoft Security Client\MsMpEng.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
.
**************************************************************************
.
Celkový čas: 2012-07-07 17:30:55 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-07-07 15:30
ComboFix2.txt 2012-07-07 14:40
.
Před spuštěním: Volných bajtů: 61 643 083 776
Po spuštění: Volných bajtů: 61 605 847 040
.
- - End Of File - - 066B79D1CD3F32940B45C33E898E1786

[schizi]

Dobrý den, nechci obtěžovat ale nepozapomněl jste na mne?

[vyosek]

Omlouvam se, mel jsem pracovni vikend, neybl jsem skoro u PC....

Jak se chova nas pacient

[schizi]

Nic se neděje, víkend chápu

Prozatím běží a funguje normálně. Poslední log jsem zaslal výše. Nevím zda mám ještě něco dalšího spustit?

[vyosek]

Tak jeste uklidime

Odinstalujte Combofix

• Prejmenujte ComboFix na Uninstall
• Spustte jej
• Tohle smaze Combofix a jeho slozky

T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

• Stahnete a spustte
• Pro potvrzeni volby mackejte A, Enter
• Po pouziti utilitu smazte
• Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

• Stahnete a spustte
• Kliknete na CleanUp a potvrdte YES
• Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

• Stahnete a spustte
• Kliknete na Start a potvrdte OK
• Program uklidi a restartuje pc
• Po pouziti utilitu smazte

Stahnete Ccleaner http://forum.viry.cz/viewtopic.php?t=7478
Panel čistič

• Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

• dejte Hledej problémy
• nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
• postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

• Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za tyden

A pokud nejsou problemy ci dotazy, je to z me strany vse

[schizi]

Výborné, moc děkuji za pomoc .

Měl bych ale ještě prosbu, mám tu ještě svůj notebook který není sice zavirovaný, ale je pomalejší při startu windows - když naběhnou tak pak trvá zhruba 5 min než se všechny procesy spustí a než můžu třeba otevřít operu, či nějaký jiný program.

Mohu poprosit i o kontrolu tohoto pc? Popřípadě radu jak ho vyčistit?

[vyosek]

Nemate zac, rado se stalo

Na ntb zalozte nove tema a do predmetu zadejte "ntb - pro vyosek", ja budu vedet oc jde a ujmu se jej...A vlozte mi tam na uvod log z RSIT