objevující se hláška od české policie a zabránění systému

[jarda.otta]

Dobrý den.Prosím o radu.Mému kamarádu se pravděpodobně dostal do pc virus a to v takové podobě,že mu po startu windows xp po naběhnutí plochy vše zmizí a objeví se hláška a varování od české policie o nějaké nelegální činosti a zaplacení pokuty 2000kč na příslušný účet a pak že mu bude systém spuštěn.Zkoušel jsem se dostat do nouzového režimu, ale po hlášce že systém pracuje v nouzáku a po potvrzení ok se pc vypne.Nemáte prosím s tímto problémem nějaké zkušenosti?Děkuji

[Rudy]

Zdravím!

Na zdravem PC stahnete Farbar Recovery Scan Tool http://www.bleepingcomputer.com/downloa ... scan-tool/

Ulozte na nejaky flash disk, primo na jeho koren


Na poskozenem PC nabootujte Nouzovy rezim s prikazovym radkem MS-DOS

Nyni si zjisteme pismeno flash disku

Zadejte prikaz notepad a odenterujte
Otevre se poznamkovy blok (notepad)
Dejte Soubor --> Otevrit --> najdete tento pocitac a otevrete USB klic je FRST ulozeny
Podivejte se, jake pismeno ma USB klic (F:\, G:\ apod)
Zavrete notepad krizkem


Ted si ziskame log

Pokud mate stazeny FRST pro 64 bit OS, tak se jmenuje FRST64.exe a je nutne jej tak zadat
Zadejte prikaz "pismeno disku":\FRST.exe a odenterujte (napr. F:\FRST.exe)
Spusti se FRST
Spuste prohledavani kliknutim na Scan
Po chvili se vytvori na flash disku log FRST.exe
Ten mi sem vlozte pres zdravy PC

[jarda.otta]

píšete že se vytvoří soubor frst.exe. nemyslel jste frst.txt? ten vám sem dám. je tam ještě jeden z názvem addition.txt. má to ale jeden zádrhel. má systém v němčině.i já s tím mám problém.umím jen část.anglicky.jinam mu to dělám se slovníkem v ruce.jestli by vám to dělalo potíže,tak se na to vykašlem a ať si to nechá přeinstalovat do češtiny.má tam ale soubory které by chtělzachovat.ale když bude nezbytné,holt to jinak nepůjde.díky.

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013
Ran by Administrator (administrator) on RLWS05 on 03-10-2013 20:50:09
Running from E:\
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Safe Mode (minimal)

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\WINDOWS\system32\cmd.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [FMStart] - C:\Programme\GFI\FAXmaker Client\fmstart.exe [151630 2008-06-02] (GFi)
HKLM\...\Run: [Trend Micro Client Framework] - C:\Programme\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe [121064 2011-03-25] (Trend Micro Inc.)
HKLM\...\Run: [SoundMan] - C:\Windows\SOUNDMAN.EXE [57344 2003-08-15] (Realtek Semiconductor Corp.)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxsrvc.dll (Intel Corporation)
HKLM\...\Policies\Explorer: [NoWelcomeScreen] 1
HKCU\...\Run: [swg] - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [68856 2008-01-07] (Google Inc.)
HKCU\...\Run: [NokiaPCInternetAccess] - C:\Programme\Nokia\PC Internet Access\NPCIA.exe [663552 2009-09-17] (Nokia)
HKCU\...\Run: [] - [x]
HKCU\...\Run: [NokiaSuite.exe] - C:\Programme\Nokia\Nokia Suite\NokiaSuite.exe [1088424 2012-10-13] (Nokia)
HKCU\...\Run: [Skype] - C:\Programme\Skype\Phone\Skype.exe [19875432 2013-06-21] (Skype Technologies S.A.)
HKCU\...\Winlogon: [Shell] explorer.exe,C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\data.dat [147456 2010-12-09] () <==== ATTENTION
MountPoints2: {34697cec-691b-11e1-a5bc-00016c3813ae} - D:\NokiaPCIA_Autorun.exe
HKU\cruck\...\Policies\system: [DisableRegistryTools] 1
HKU\cruck\...\Policies\system: [NoDispBackgroundPage] 1
HKU\cruck\...\Policies\system: [NoDispAppearancePage] 1
HKU\girion\...\Policies\system: [DisableRegistryTools] 1
HKU\girion\...\Policies\system: [NoDispBackgroundPage] 1
HKU\girion\...\Policies\system: [NoDispAppearancePage] 1
HKU\girion.RL\...\Run: [swg] - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [ 2008-01-07] (Google Inc.)
HKU\girion.RL\...\Policies\system: [DisableRegistryTools] 1
HKU\girion.RL\...\Policies\system: [NoDispScrSavPage] 1
HKU\girion.RL\...\Policies\system: [SetVisualStyle]
HKU\jgerlach\...\Run: [updateMgr] - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe [ 2006-03-30] (Adobe Systems Incorporated)
HKU\jgerlach\...\Run: [swg] - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [ 2008-01-07] (Google Inc.)
HKU\jgerlach.RL\...\Policies\system: [DisableRegistryTools] 1
HKU\jgerlach.RL\...\Policies\system: [NoDispScrSavPage] 1
HKU\jgerlach.RL\...\Policies\system: [SetVisualStyle]
HKU\pkindl\...\Run: [IEFilter] - C:\Dokumente und Einstellungen\pkindl\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Filters\IExpl32d.exe
HKU\pkindl\...\Policies\system: [DisableRegistryTools] 1
HKU\pkindl\...\Policies\system: [NoDispBackgroundPage] 1
HKU\pkindl\...\Policies\system: [NoDispAppearancePage] 1
HKU\pmederle\...\Policies\system: [DisableRegistryTools] 1
HKU\pmederle\...\Policies\system: [NoDispBackgroundPage] 1
HKU\pmederle\...\Policies\system: [NoDispAppearancePage] 1
HKU\TEMP\...\Policies\system: [DisableRegistryTools] 1
HKU\TEMP\...\Policies\system: [NoDispScrSavPage] 1
HKU\TEMP\...\Policies\system: [SetVisualStyle]
HKU\terb\...\Run: [] - [x]
HKU\terb\...\Run: [updateMgr] - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcStd7_0_9 -reboot 1
HKU\terb\...\Run: [swg] - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [ 2008-01-07] (Google Inc.)
HKU\terb\...\Policies\system: [DisableRegistryTools] 1
HKU\terb\...\Policies\system: [NoDispScrSavPage] 1
HKU\terb\...\Policies\system: [SetVisualStyle]
Startup: C:\Dokumente und Einstellungen\cruck\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk
ShortcutTarget: Microsoft Office Outlook 2003.lnk -> C:\WINDOWS\Installer\{91130407-6000-11D3-8CFE-0150048383C9}\outicon.exe ()
Startup: C:\Dokumente und Einstellungen\girion\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk
ShortcutTarget: Microsoft Office Outlook 2003.lnk -> C:\WINDOWS\Installer\{91130407-6000-11D3-8CFE-0150048383C9}\outicon.exe ()
Startup: C:\Dokumente und Einstellungen\jgerlach\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk
ShortcutTarget: Microsoft Office Outlook 2003.lnk -> C:\WINDOWS\Installer\{91130407-6000-11D3-8CFE-0150048383C9}\outicon.exe ()
Startup: C:\Dokumente und Einstellungen\pkindl\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk
ShortcutTarget: Microsoft Office Outlook 2003.lnk -> C:\WINDOWS\Installer\{91130407-6000-11D3-8CFE-0150048383C9}\outicon.exe ()
Startup: C:\Dokumente und Einstellungen\pkindl\Startmenü\Programme\Autostart\Time-Organizer Anmeldung.lnk
ShortcutTarget: Time-Organizer Anmeldung.lnk -> C:\Programme\Time-Organizer\Time-Organizer.exe (Holger Hirschfeldt EDV-Beratung 29439 Lüchow http://www.Time-Organizer.de)
Startup: C:\Dokumente und Einstellungen\pmederle\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk
ShortcutTarget: Microsoft Office Outlook 2003.lnk -> C:\WINDOWS\Installer\{91130407-6000-11D3-8CFE-0150048383C9}\outicon.exe ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/?pc=UP97&ocid=UP97DHP
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.bing.com/search?FORM=UP97DF& ... -SearchBox
BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: TmIEPlugInBHO Class - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Programme\Trend Micro\AMSP\Module\20004\1.6.1165\6.6.1081\TmIEPlg.dll (Trend Micro Inc.)
BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
BHO: Skype Browser Helper - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
Toolbar: HKLM - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
Toolbar: HKCU -Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
Toolbar: HKCU -Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl ... rashim.cab
DPF: {CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Handler: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Programme\Trend Micro\AMSP\Module\20004\1.6.1165\6.6.1081\TmIEPlg.dll (Trend Micro Inc.)
Handler: tmtbim - {0B37915C-8B98-4B9E-80D4-464D2C830D10} - C:\Programme\Trend Micro\Security Agent\UIFramework\ProToolbarIMRatingActiveX.dll (Trend Micro Inc.)

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a8a8gbd8.default
FF Homepage: hxxp://de.msn.com/?pc=UP97&ocid=UP97DHP
FF NetworkProxy: "no_proxies_on", "localhost,127.0.0.1"
FF NetworkProxy: "type", 0
FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_168.dll ()
FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @nokia.com/EnablerPlugin - C:\Programme\Nokia\Nokia Suite\npNokiaSuiteEnabler.dll ( )
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=2.0.0 - C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.0.7 - C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.0.8 - C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF SearchPlugin: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a8a8gbd8.default\searchplugins\bingp.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\heureka-cz.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\jyxo-cz.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\seznam-cz.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\slunecnice-cz.xml
FF Extension: Super Start - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a8a8gbd8.default\Extensions\superstart@enjoyfreeware.org
FF Extension: Skype Click to Call - C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF HKLM\...\Firefox\Extensions: [{22C7F6C6-8D67-4534-92B5-529A0EC09405}] - C:\Programme\Trend Micro\AMSP\Module\20004\1.6.1165\6.6.1081\firefoxextension\
FF Extension: Trend Micro NSC Firefox Extension - C:\Programme\Trend Micro\AMSP\Module\20004\1.6.1165\6.6.1081\firefoxextension\

========================== Services (Whitelisted) =================

S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [135664 2010-03-10] (Google Inc.)
S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [135664 2010-03-10] (Google Inc.)
S3 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [194032 2012-09-11] (Google)
S2 MDM; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [322120 2003-06-19] (Microsoft Corporation)
S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [118680 2013-09-19] (Mozilla Foundation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [89136 2003-07-28] (Microsoft Corporation)
S3 ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [725400 2012-10-03] (Nokia)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [162408 2013-06-21] (Skype Technologies)
S3 TmListen; C:\Programme\Trend Micro\Security Agent\tmlisten.exe [681488 2011-03-29] (Trend Micro Inc.)
S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation)
S2 Amsp; "C:\Programme\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe -m=qb -dt=60000 [x]
S2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"

==================== Drivers (Whitelisted) ====================

S3 ALCXWDM; C:\Windows\System32\drivers\ALCXWDM.SYS [4122368 2008-09-24] (Realtek Semiconductor Corp.)
S3 b57w2k; C:\Windows\System32\DRIVERS\b57xp32.sys [190336 2004-07-23] (Broadcom Corporation)
S3 ialm; C:\Windows\System32\DRIVERS\ialmnt5.sys [827100 2005-03-10] (Intel Corporation)
S2 tmactmon; C:\Windows\System32\DRIVERS\tmactmon.sys [81168 2011-02-25] (Trend Micro Inc.)
S2 tmcomm; C:\Windows\System32\DRIVERS\tmcomm.sys [190736 2011-02-25] (Trend Micro Inc.)
S2 tmevtmgr; C:\Windows\System32\DRIVERS\tmevtmgr.sys [65296 2011-02-25] (Trend Micro Inc.)
S1 tmtdi; C:\Windows\System32\DRIVERS\tmtdi.sys [92112 2010-09-30] (Trend Micro Inc.)
U5 ScsiPort; C:\Windows\system32\drivers\scsiport.sys [96384 2008-04-14] (Microsoft Corporation)
U5 Sdbus; C:\Windows\System32\Drivers\Sdbus.sys [79232 2008-04-14] (Microsoft Corporation)
U1 WS2IFSL;

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-03 20:49 - 2013-10-03 20:49 - 00000000 ____D C:\FRST
2013-09-30 10:45 - 2013-10-03 20:29 - 00000004 _____ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\settings.ini
2013-09-19 14:55 - 2013-09-21 10:14 - 00000000 ____D C:\Programme\Mozilla Firefox

==================== One Month Modified Files and Folders =======

2013-10-03 20:49 - 2013-10-03 20:49 - 00000000 ____D C:\FRST
2013-10-03 20:30 - 2007-03-22 10:15 - 00032578 _____ C:\WINDOWS\SchedLgU.Txt
2013-10-03 20:30 - 2007-03-22 10:15 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-10-03 20:30 - 2007-03-22 10:08 - 01601586 _____ C:\WINDOWS\WindowsUpdate.log
2013-10-03 20:30 - 2007-03-22 10:01 - 00000216 _____ C:\WINDOWS\wiadebug.log
2013-10-03 20:30 - 2007-03-22 10:01 - 00000050 _____ C:\WINDOWS\wiaservc.log
2013-10-03 20:29 - 2013-09-30 10:45 - 00000004 _____ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\settings.ini
2013-10-03 20:29 - 2007-03-22 10:24 - 00000300 ___SH C:\Dokumente und Einstellungen\Administrator\ntuser.ini
2013-10-03 20:29 - 2007-03-22 09:59 - 00694866 _____ C:\WINDOWS\setupapi.log
2013-10-03 20:13 - 2012-04-24 09:28 - 00000884 _____ C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2013-10-03 19:41 - 2010-03-10 12:32 - 00001090 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
2013-10-03 18:51 - 2012-01-27 13:01 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2013-10-03 14:15 - 2013-01-17 13:58 - 00000664 _____ C:\WINDOWS\system32\d3d9caps.dat
2013-10-03 14:15 - 2010-03-10 12:32 - 00001086 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
2013-10-03 12:06 - 2004-08-04 14:00 - 00013646 _____ C:\WINDOWS\system32\wpa.dbl
2013-09-30 09:55 - 2012-03-08 14:57 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2013-09-30 09:54 - 2013-07-03 15:01 - 00000691 _____ C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
2013-09-28 23:17 - 2007-03-22 10:06 - 00100940 _____ C:\WINDOWS\wmsetup.log
2013-09-24 11:25 - 2007-09-30 19:04 - 00002509 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Office Word 2003.lnk
2013-09-24 11:20 - 2012-12-03 11:49 - 00000000 ___RD C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Bilder
2013-09-23 12:16 - 2012-01-27 13:01 - 00002259 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
2013-09-22 10:27 - 2012-04-25 14:13 - 00000000 ____D C:\Programme\Mozilla Maintenance Service
2013-09-21 10:14 - 2013-09-19 14:55 - 00000000 ____D C:\Programme\Mozilla Firefox
2013-09-21 10:13 - 2012-04-24 09:28 - 00692616 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2013-09-21 10:13 - 2011-05-19 07:54 - 00071048 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2013-09-21 10:13 - 2007-03-22 09:59 - 00000000 ___RD C:\Programme

Files to move or delete:
====================
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\data.dat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\settings.ini


Some content of TEMP:
====================
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\b34btbztdb0vavaw.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\NEventMessages.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\NOSEventMessages.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SkypeSetup.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\vlc-2.0.1-win32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\vlc-2.0.2-win32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\vlc-2.0.4-win32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\vlc-2.0.5-win32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\vlc-2.0.6-win32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\vlc-2.0.7-win32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\vlc-2.0.8-win32.exe
C:\Dokumente und Einstellungen\girion.RL\Lokale Einstellungen\Temp\setup_wm.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2004-08-04 14:00] - [2008-04-14 08:52] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e

C:\Windows\System32\winlogon.exe
[2004-08-04 14:00] - [2008-04-14 08:53] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a

C:\Windows\System32\svchost.exe
[2004-08-04 14:00] - [2008-04-14 08:53] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366

C:\Windows\System32\services.exe
[2004-08-04 14:00] - [2009-02-09 13:14] - 0111104 ____A (Microsoft Corporation) f0a7d59af279326528715b206669b86c

C:\Windows\System32\User32.dll
[2004-08-04 14:00] - [2008-04-14 08:52] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd

C:\Windows\System32\userinit.exe
[2004-08-04 14:00] - [2008-04-14 08:53] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106

C:\Windows\System32\Drivers\volsnap.sys
[2004-08-04 14:00] - [2008-04-14 08:22] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d


==================== End Of Log ============================

[Rudy]

Otevřte poznámkový blok a zkopírujte do něj:

Start
HKCU\...\Run: [swg] - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [68856 2008-01-07] (Google Inc.)
HKCU\...\Run: [] - [x]
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.bing.com/search?FORM=UP97DF& ... -SearchBox
BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU -Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\data.dat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\settings.ini
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
End

Ulozte vytvoreny TXT jako fixlist.txt
Presunte vytvoreny log na flashku k FRST


Spustte znovu FRST.exe na tom poskozenem PC

Kliknete na Fix
Probehne oprava a na flash disku se vytvori log Fixlog.txt


Pokuste se nastartovat do bezneho rezimu

[jarda.otta]

vše se zdá být v pořádku.Jestli je to vše,mnohokrát děkuji a zítra vám kamarád pošle příspěvek.klobouk dolů machři.zde ještě ten log:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-10-2013
Ran by Administrator at 2013-10-03 23:24:14 Run:1
Running from E:\
Boot Mode: Safe Mode (minimal)

==============================================

Content of fixlist:
*****************
Start
HKCU\...\Run: [swg] - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [68856 2008-01-07] (Google Inc.)
HKCU\...\Run: [] - [x]
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.bing.com/search?FORM=UP97DF& ... -SearchBox
BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU -Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\data.dat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\settings.ini
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
End
*****************

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\swg => Value deleted successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\ => Value deleted successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990} => Key deleted successfully.
HKCR\Wow6432Node\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990} => Key not found.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7} => Key deleted successfully.
HKCR\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7} => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} => Key deleted successfully.
HKCR\CLSID\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{2318C2B1-4965-11d4-9B18-009027A5CD4F} => Value deleted successfully.
HKCR\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F} => Key deleted successfully.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Value deleted successfully.
HKCR\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Key not found.
HKCR\PROTOCOLS\Handler\skype-ie-addon-data => Key deleted successfully.
HKCR\CLSID\{91774881-D725-4E58-B298-07617B9B86A8} => Key deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\data.dat => Moved successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\settings.ini => Moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp => Moved successfully.

==== End of Fixlog ====

[Rudy]

Není to vše, ještě to musíme hloubkově zkontrolovat. Dejte log ComboFix:

Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se

jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine

aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode,

pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k

nezadoucim kolizim s rezidentem antispyware.

[jarda.otta]

Rudy děkuji za trpělivost.omlouvám se vám za pozdní odpověď.nevykašlal jsem se na to. pracuji na tom neustále.jen mám problém s němčinou v tom systému.desítky hlášek které musím překládat ve slovníku slovo po slově.němčině absolutně nerozumím.combofix spustím,ale vyplivne na mě několik hlášek.Jak jsem jim porozuměl,tak to nejprve chtělo konzolu pro zotavení,zak jsem jí nainstaloval a dál mě to psalo v tom slova smyslu,ať vypnu pofidérní antivir trend micro security.zkoušel jsem ho deaktivovat,ale chce po mě heslo.Ten můj kamarád ovšem žádné heslo nezná,neboť to pc dostal od známých z německa z nějaké firmy.zkusil jsem to deaktivovat ve správci souborů i vypnout ve službách,pak restart a už jsem ho neviděl.ale jak spustím combofix,tak on vidí stále že je aktivní trend micro security agent.dám pokračovat a nahlásí že test může trvat cca 10 minut a vzhledem k infikovaným souborům podstatně déle.Tak to odkejvu běží běží a běží ale dál se nedostanu.nechal jsem to opakovaně asi 6-7 hodin a stále jakoby zaseklé.tak si nevím rady jak ho zbavit toho antiviru jestli je to tím.Jestli ano,potřeboval bych ho nějak odpálit přes to jeho heslo nebo nějak násilím odinstalovat.Možná se pokusit vše udělat v nouzáku.co vy na to?p.s.omlouvám se.

[Rudy]

Konzolu pro zotavení jsem nechtěl, to bych to výslovně uvedl. CF spusťte vypněte antivir a nechte běžet. Po skončení akce sem zkopírujte obsah txt soouboru, který se sám otevře. Lze také vypnutí AV přinejhorším ignotovat. Pokud se CF sekne, spusťte ho v nouz. režimu.

[jarda.otta]

udělám.ale konzolu pro zotavení si vyžádal sám combofix.

[Rudy]

Ale dal vám volbu, zda ji chcete instalovat, či ne. To dělá CF vždy.

[jarda.otta]

ale když jsem ji nedal tak mě nepustil dál.Neustále me CF hlásí že je aktivní trend micro security agent-Dle návodu který jsem vygooglil jsem ho odstranil v nouzáku,smazal v PFILES a i v registrech veškeré odkazy na rend micro security agent.dále už nic nenašel v registrech ani v pc.ale kdykoliv ho spustím tak mě to vždy nahlásí že je aktivní.tak to ignoruju, ale když to dojde do fáze že napíše že to může trvat déle než 10 minut a vzhledem k nalezení infikovaných souborů že se to může zdvojnásobit,tak se to v této fázy zasekne a tak to zůstane třeba 10 hodin.Dělám to i v nouzáku a stále to samé.Teď jsem ještě ztáhnul z jejich stránek nějakou utility na odinstall trendu micro.Tak to jdu zkusit.dík za trpělivost.

[Rudy]

Případně zkuste spustit v nouz. režimu.

[jarda.otta]

nedaří se.stále registruje trend micro security agent ač je vše smazáno i v registrech.jen je v ovl.panelech přidat a ubrat programy.když dám odinstalovat,stále chce heslo.ale v pc po něm není už žádna stopa.vypadá to na reinstall windows.heslo k němu nemáme.

[Rudy]

Zkusíme to jinak. Udělejte kompletní sken MBAM: http://www.malwarebytes.org/mbam.php MBAM a dejte log. Předem nic nemažte.

[jarda.otta]

Udělal jsem rychlý a pak kompletní scan ale nejprve bez stažení databáze a pak s novou databází.Dám sem všechny.


Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Verze: v2013.10.07.07

Windows XP Service Pack 3 x86 FAT32 (Nouzový režim s podporou sítě)
Internet Explorer 8.0.6001.18702
Administrator :: RLWS05 [administrátor]

Ochrana: Zakázána

07.10.2013 15:33:19
MBAM-log-2013-10-07 (15-57-51).txt

Typ: Rychlá kontrola
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 587272
Uplynulý čas: 14 minut, 29 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 1
HKCR\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB} (PUP.Optional.BabylonToolBar.A) -> Nebyla provedena žádná instrukce.

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 1
C:\Dokumente und Einstellungen\girion.RL\Lokale Einstellungen\Temp\5DF891D4-BAB0-7891-AD67-F0938B969C20\MyBabylonTB.exe (PUP.Optional.BabylonToolBar.A) -> Nebyla provedena žádná instrukce.

(konec)

---------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Verze: v2013.10.07.07

Windows XP Service Pack 3 x86 FAT32 (Nouzový režim s podporou sítě)
Internet Explorer 8.0.6001.18702
Administrator :: RLWS05 [administrátor]

Ochrana: Zakázána

07.10.2013 15:28:42
MBAM-log-2013-10-07 (15-32-02).txt

Typ: Blesková kontrola
Nastavení kontroly povoleno: Paměť | Po spuštění | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: Registr | Systémové soubory | P2P
Kontrolované objekty: 549653
Uplynulý čas: 1 minut, 6 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 1
C:\Dokumente und Einstellungen\girion.RL\Anwendungsdaten\Babylon (PUP.Optional.Babylon.A) -> Nebyla provedena žádná instrukce.

Nalezené soubory: 1
C:\Dokumente und Einstellungen\girion.RL\Anwendungsdaten\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Nebyla provedena žádná instrukce.

(konec)



-----------------------------------------------------------------------------------------------
Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware.) 1.70.0.1100
www.malwarebytes.org

Verze: v2012.12.14.11

Windows XP Service Pack 3 x86 NTFS (Nouzový režim)
Internet Explorer 8.0.6001.18702
Administrator :: RLWS05 [administrátor]

Ochrana: Zakázána

07.10.2013 13:04:55
MBAM-log-2013-10-07 (14-55-01).txt

Typ: Kompletní kontrola (C:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 627664
Uplynulý čas: 1 hodin, 6 minut, 9 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Špatný: (1) Dobrý: (0) -> Nebyla provedena žádná instrukce.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Špatný: (1) Dobrý: (0) -> Nebyla provedena žádná instrukce.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Špatný: (1) Dobrý: (0) -> Nebyla provedena žádná instrukce.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Špatný: (1) Dobrý: (0) -> Nebyla provedena žádná instrukce.

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 1