PC zablokovane Policii CR

Zpráva

kewin · #16 Příspěvek od **kewin** » 30 črc 2013 19:52

Nedaří se mi dokončit mazání s ComboFixem. V normálním režimu se vůbec nerozjede (čekal jsem hodinu - žádná reakce), v nouzovém režimu došlo ke smazání spousty věcí a teď zase aspoň dvě hodiny skript stojí na mazání složky C:\Program Files\google\ GoogleToolbarNotifier

Mám tu složku smazat ručně a spustit to znova?

#17 Příspěvek od **Rudy** » 30 črc 2013 20:11

Ano, tuto složku můžete.

kewin · #18 Příspěvek od **kewin** » 30 črc 2013 20:21

Mám to potom spustit přes ten textový příkaz znova? Ten notebook je nehorázně pomalý

#19 Příspěvek od **Rudy** » 30 črc 2013 20:28

Pokud to bude možné, spusťte. Problém ale nemusí být jen ve virech.

kewin · #20 Příspěvek od **kewin** » 30 črc 2013 21:14

Spustil jsem to znovu. Mazani se zaseklo na dalsim nalezenem adresari v Program Files. Do profilu, ktery byl nakazeny tim policejnim virem se stale nedostanu. Stale v DOS okne blokuje pristup soubor dfqdpelvjdcuyojeu.exe. Je to neco normalniho nebo je to taky vytvor nejakeho viru? Koukal jsem ze v logu HJT je videt.

#21 Příspěvek od **Rudy** » 30 črc 2013 21:44

kewin píše:Spustil jsem to znovu. Mazani se zaseklo na dalsim nalezenem adresari v Program Files. Do profilu, ktery byl nakazeny tim policejnim virem se stale nedostanu. Stale v DOS okne blokuje pristup soubor dfqdpelvjdcuyojeu.exe. Je to neco normalniho nebo je to taky vytvor nejakeho viru? Koukal jsem ze v logu HJT je videt.

Ten soubor je právě produktem policejního viru, který by CF smazal. Udělejte sken AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 a dejte log. Ten by ho měl rovněž dostat ven, ale bude to déle trvat.

kewin · #22 Příspěvek od **kewin** » 30 črc 2013 22:57

CF, po smazani nekolika slozek rucne, dobehl. Posilam log. Scan co jste jeste chtel spustim. A moc dekuji

ComboFix 13-07-30.02 - aja 30.07.2013 23:00:18.11.1 - FAT32x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.502.355 [GMT 2:00]
Spuštěný z: c:\documents and settings\aja\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\aja\Plocha\CFScript.txt
AV: AVG AntiVirus Free Edition 2013 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
FILE ::
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SKYPE_C2C_SERVICE
-------\Service_Skype C2C Service
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-06-28 do 2013-07-30 )))))))))))))))))))))))))))))))
.
.
2013-07-28 10:38 . 2013-07-28 10:51 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2013-07-28 09:56 . 2013-07-28 09:56 -------- d-----w- c:\documents and settings\aja\Data aplikací\Malwarebytes
2013-07-28 09:55 . 2013-07-28 09:55 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2013-07-28 09:55 . 2013-07-28 09:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-07-28 09:55 . 2013-04-04 12:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-07-27 14:50 . 2013-07-27 14:50 -------- d-----w- C:\FOUND.022
2013-07-25 18:06 . 2013-07-25 18:06 -------- d-----w- c:\program files\trend micro
2013-07-25 18:06 . 2013-07-25 18:06 -------- d-----w- C:\rsit
2013-07-25 17:33 . 2013-07-25 17:34 -------- d-----w- c:\documents and settings\aja\Data aplikací\AVG2013
2013-07-25 17:32 . 2013-07-25 17:32 -------- d-----w- c:\windows\system32\config\systemprofile\Data aplikací\AVG2013
2013-07-25 17:31 . 2013-07-25 17:31 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Data aplikací\Avg2013
2013-07-25 17:30 . 2013-07-25 17:30 -------- d-----w- c:\documents and settings\aja\Local Settings\Data aplikací\AVG Secure Search
2013-07-25 17:30 . 2013-07-25 17:30 -------- d-----w- c:\documents and settings\aja\Data aplikací\TuneUp Software
2013-07-25 17:30 . 2013-07-25 17:30 -------- d-----w- c:\documents and settings\aja\Data aplikací\AVG Secure Search
2013-07-25 17:30 . 2013-07-29 18:11 37664 ----a-w- c:\windows\system32\drivers\avgtpx86.sys
2013-07-25 17:30 . 2013-07-25 17:30 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVG Secure Search
2013-07-25 17:30 . 2013-07-25 17:30 -------- d-----w- c:\program files\Common Files\AVG Secure Search
2013-07-25 17:30 . 2013-07-25 17:30 -------- d-----w- c:\program files\AVG Secure Search
2013-07-25 17:27 . 2013-07-25 17:27 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVG2013
2013-07-25 17:25 . 2013-07-25 17:25 -------- d-----w- c:\documents and settings\aja\Local Settings\Data aplikací\Avg2013
2013-07-25 17:25 . 2013-07-25 17:25 -------- d-----w- c:\documents and settings\aja\Local Settings\Data aplikací\MFAData
2013-07-25 16:32 . 2013-07-25 16:32 -------- d-----w- c:\documents and settings\aja\Local Settings\Data aplikací\NPE
2013-07-25 16:23 . 2013-07-25 16:23 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Norton
2013-07-25 16:20 . 2013-07-25 16:20 -------- d-----w- c:\documents and settings\Administrator
2013-07-14 09:16 . 2013-07-14 09:16 -------- d-----w- c:\windows\system32\MRT
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-14 18:46 . 2013-01-04 08:19 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-06-14 18:46 . 2012-02-17 08:36 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-08 01:24 . 2006-01-09 18:08 920064 ----a-w- c:\windows\system32\wininet.dll
2013-06-07 21:53 . 2004-08-18 18:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2013-06-07 21:53 . 2004-08-18 18:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-06-07 18:25 . 2009-03-15 15:08 385024 ----a-w- c:\windows\system32\html.iec
2013-06-05 09:08 . 2009-03-15 15:07 1876736 ----a-w- c:\windows\system32\win32k.sys
2013-06-04 07:23 . 2009-03-15 15:07 563712 ----a-w- c:\windows\system32\qedit.dll
2013-05-21 13:28 . 2013-06-02 17:02 27136 ----a-w- c:\windows\system32\ImHttpComm.dll
2013-05-08 09:58 . 2006-10-18 19:47 1543680 ------w- c:\windows\system32\wmvdecod.dll
2013-05-03 05:38 . 2009-03-15 15:06 2151936 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-05-03 05:38 . 2009-03-15 15:06 2030592 ----a-w- c:\windows\system32\ntkrnlpa.exe
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}]
2013-07-29 18:11 3086512 ----a-w- c:\program files\AVG Secure Search\15.4.0.5\AVG Secure Search_toolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{95B7759C-8C7F-4BF1-B163-73684A933233}"= "c:\program files\AVG Secure Search\15.4.0.5\AVG Secure Search_toolbar.dll" [2013-07-29 3086512]
.
[HKEY_CLASSES_ROOT\clsid\{95b7759c-8c7f-4bf1-b163-73684a933233}]
[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj.1]
[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 45056]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-18 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-18 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-18 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-18 455168]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2006-08-09 151552]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
"WebDriveTray"="c:\program files\NetDrive\netdrive.exe" [2002-08-29 294912]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-29 149280]
"MRPRun"="c:\progra~1\MRP\MRPRun.exe" [2004-10-25 551424]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-07-20 200704]
"IndexSearch"="c:\program files\Nuance\PaperPort\IndexSearch.exe" [2010-03-08 46368]
"PaperPort PTD"="c:\program files\Nuance\PaperPort\pptd40nt.exe" [2010-03-08 29984]
"PPort12reminder"="c:\program files\Nuance\PaperPort\Ereg\Ereg.exe" [2010-02-09 328992]
"PDFHook"="c:\program files\Nuance\PDF Viewer Plus\pdfpro5hook.exe" [2010-03-05 636192]
"PDF5 Registry Controller"="c:\program files\Nuance\PDF Viewer Plus\RegistryController.exe" [2010-03-05 62752]
"ControlCenter4"="c:\program files\ControlCenter4\BrCcBoot.exe" [2010-12-02 139264]
"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-06-10 2621440]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2012-09-28 421888]
"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2013-06-10 162856]
"AVG_UI"="c:\program files\AVG\AVG2013\avgui.exe" [2013-04-28 4408368]
"vProt"="c:\program files\AVG Secure Search\vprot.exe" [2013-07-29 2285232]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\milan\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-1-15 393216]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE -b -l [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2013\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\WINDOWS\\System32\\usmt\\migwiz.exe"=
"c:\\WINDOWS\\System32\\LMabcoms.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\FXSCLNT.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\System32\\MSIEXEC.EXE"=
"c:\\WINDOWS\\System32\\ARFC\\wrtc.exe"=
"c:\\Program Files\\Sony Ericsson\\Update Engine\\Sony Ericsson Update Engine.exe"=
"c:\\Program Files\\AVG\\AVG2013\\avgnsx.exe"=
"c:\\Program Files\\AVG\\AVG2013\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG2013\\avgmfapx.exe"=
"c:\\Program Files\\AVG\\AVG2013\\avgemcx.exe"=
.
R0 AVGIDSHX;AVGIDSHX;c:\windows\system32\drivers\avgidshx.sys [8.2.2013 4:37 60216]
R0 Avglogx;AVG Logging Driver;c:\windows\system32\drivers\avglogx.sys [8.2.2013 4:37 245048]
R0 AvgRkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [12.4.2010 18:00 39224]
R1 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\avgidsdriverx.sys [29.3.2013 2:53 208184]
R1 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\avgidsshimx.sys [1.3.2013 10:32 22328]
R1 AvgLdx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [12.4.2010 18:00 170808]
R1 AvgTdiX;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [12.4.2010 18:00 182072]
R1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [25.7.2013 19:30 37664]
R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2013\avgidsagent.exe [14.5.2013 0:54 4937264]
R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2013\avgwdsvc.exe [18.4.2013 4:34 283136]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_2_1\bin\fbguard.exe [22.4.2009 15:23 81920]
R2 PDFProFiltSrvPP;PDFProFiltSrvPP;c:\program files\Nuance\PaperPort\PDFProFiltSrvPP.exe [9.3.2010 0:40 144672]
R2 vToolbarUpdater15.4.0;vToolbarUpdater15.4.0;c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\15.4.0\ToolbarUpdater.exe [29.7.2013 20:14 1616048]
R2 WebDriveFSD;WebDrive File System Driver;c:\program files\NetDrive\rffsd.sys [31.3.2008 14:52 67032]
R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [16.5.2012 12:47 245760]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_2_1\bin\fbserver.exe [22.4.2009 15:23 2723840]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [28.7.2013 11:55 22856]
S2 gupdate1ca7113e5850da0;Služba Google Update (gupdate1ca7113e5850da0);c:\program files\Google\Update\GoogleUpdate.exe [29.11.2009 17:49 133104]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [28.7.2013 11:55 701512]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [5.6.2012 15:17 160944]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [30.4.2013 10:21 12400]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28.7.2013 12:38 40776]
S3 Sony PC Companion;Sony PC Companion;c:\program files\Sony\Sony PC Companion\PCCService.exe [30.4.2013 10:01 155824]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [1.10.2006 14:37 26624]
S4 RFNP32;WebDrive Provider; [x]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - INT15.SYS
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-07-13 06:26 1173456 ----a-w- c:\program files\Google\Chrome\Application\28.0.1500.72\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2013-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-29 15:48]
.
2013-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-29 15:48]
.
2013-07-30 c:\windows\Tasks\User_Feed_Synchronization-{841C420B-E491-4DA5-8406-74C76A6CCBCE}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
2013-07-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-01-04 18:46]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
mStart Page = hxxp://home.sweetim.com/?crg=3.1010000.10002&barid={8A60E6D9-5F2B-11E2-9F5A-0016D456AAA5}
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Otevřít programem PDF Viewer Plus - c:\program files\Nuance\PDF Viewer Plus\Bin\PlusIEContextMenu.dll/PlusIEContextMenu.htm
Trusted Zone: mojebanka.cz
TCP: DhcpNameServer = 194.228.41.113 160.218.161.54
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files\Common Files\AVG Secure Search\ViProtocolInstaller\15.4.0\ViProtocol.dll
DPF: {672EE252-D813-4F5E-81BB-5DD163DD4FA5} - hxxps://www.mojedatovaschranka.cz/static/pages/ ... ctivex.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-07-30 23:38
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(1036)
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
.
- - - - - - - > 'explorer.exe'(3792)
c:\windows\system32\MSNChatHook.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\windows\system32\ConnAPI.DLL
c:\windows\system32\MSVCP71.dll
c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_cze.nlr
c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\acer\Empowering Technology\admServ.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\NetDrive\wdService.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\15.4.0\loggingserver.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\windows\RTHDCPL.EXE
c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
c:\program files\Common Files\PCSuite\Services\ServiceLayer.exe
c:\docume~1\aja\LOCALS~1\Temp\RtkBtMnt.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\ControlCenter4\BrCtrlCntr.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\ControlCenter4\BrCcUxSys.exe
.
**************************************************************************
.
Celkový čas: 2013-07-30 23:47:48 - počítač byl restartován
ComboFix-quarantined-files.txt 2013-07-30 21:47
ComboFix2.txt 2013-07-28 21:24
ComboFix3.txt 2013-07-27 18:18
.
Před spuštěním: 7 669 743 616
Po spuštění: 7 043 383 296
.
- - End Of File - - C81278968AA1D719B671310E0A02FC4F
99852D5C3A78447C3D6D82B6155FE848

#23 Příspěvek od **Rudy** » 31 črc 2013 17:34

Tento log je již OK. CF odinstaljte pomocí T-Cleaneru: http://vyosek.ic.cz/pro_usery/T-Cleaner.exe .

kewin · #24 Příspěvek od **kewin** » 31 črc 2013 19:41

Odinstaluji, ale problém dostat se do profilu milan je stále stejný. Ten exe soubor s divným jménem ho stále blokuje. Ale v logu RSIT už není vidět. Jak se ho zbavit? Připadá mi to, že se vygeneruje jen při přístupu do toho nakaženého profilu.

#25 Příspěvek od **Rudy** » 31 črc 2013 19:44

Můžete zjistit, kde se ten soubor nachází (cestu k souboru)?

kewin · #26 Příspěvek od **kewin** » 31 črc 2013 20:20

v DOSovském okně je psáno:

"c:\DOCUME~1\milan\LOCALS~1\Temp\dfqdpelvjdcuyojeu.exe" není názvem vnitřního ani vnějšího příkazu spustitelného programu nebo dávkového souboru.

V tom rozšířeném RSIT to bylo videt, ale teď už tam není. Myslel jsem že by to šlo smazat přes HJT, ale zas tolik tomu nerozumím, zvláště když v RSIT už není

#27 Příspěvek od **Rudy** » 31 črc 2013 20:51

Stáhněte Avenger: http://swandog46.geekstogo.com/avenger.exe , spusťte a do bílého okna zkopírujte:

Files to delete:
c:\DOCUMENT and settings\milan\LOCAL SETTINGS\Temp\dfqdpelvjdcuyojeu.exe

a klikněte na >Execute<. PC bude restartován.

kewin · #28 Příspěvek od **kewin** » 31 črc 2013 21:05

Nepomohlo to. Posílám log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open file "c:\DOCUMENT and settings\milan\LOCAL SETTINGS\Temp\dfqdpelvjdcuyojeu.exe"
Deletion of file "c:\DOCUMENT and settings\milan\LOCAL SETTINGS\Temp\dfqdpelvjdcuyojeu.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Completed script processing.

*******************

Finished! Terminate.

#29 Příspěvek od **Rudy** » 31 črc 2013 21:12

To vidím. Ta cesta není správná. Otevřte ten adresář a podívejte se, zda je tam ten soubor.

kewin · #30 Příspěvek od **kewin** » 31 črc 2013 21:20

Opsal jsem co je videt v tom Dosovskem okně. Vím že ty názvy adresářů nejsou celé. Ta tilda něco zastupuje. Ale víc z toho nevyčtu

VIRY.CZ

PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR

Re: PC zablokovane Policii CR