Prosím o pomoc s odstraněním viru

[Márty84]

No mate to pekne prolezle Uvidime, co najde AVPTool.

[Klif]

Tak AVP Tool včera prohledával dohromady asi 16 hodin, nakonec už jsem na něj nevydržela čekat, nechala jsem ho běžet a šla spát. To měl asi 96%. A ráno přijdu k počítači a nikde nic, musel se asi po dokončení vypnout. Nevypadá to, že by byl někde nainstalovaný, nebo si log někam sám ukládal...
Takže budu ten test muset spustit znovu a zkusit vydržet do konce

[Márty84]

A mel nejaky nalez pri tech 96%? Nemyslim, ze by se sam vypnul Spis jestli nedoslo k restartu pc

[Klif]

Měl spoustu nálezů K restartu nedošlo, protože jsem měla spuštěné i další věci a ty zůstaly otevřené, ale ráno jsem měla spuštěných 15 procesů od viru, který si stihl vytvořit i spoustu nových souborů, tak jestli to tomu nějak nenapomohlo, často se mi teď stává, že se nějaký program najednou vypne. Program zatím píše, že test bude trvat ještě 2 dny, tak uvidím, jestli se tentokrát povede.

[Márty84]

Myslel jsem si to, mate tam toho hodne. Vy ten pocitac u toho normalne pouzivate, ze? Nejsem si jisty, jestli to taklhle pujde, kdyz se to porad mnozi. Chtelo by to ho na celou dobu odpojit od netu a pracovat jen v nouzovem rezimu. Nemyslim jen po dobu skenu AVPTool, ale uplne celou dobu. Jenze to je asi nerealne

[Klif]

Mě bohužel práce na počítači živí, ale pokud to jinak nepůjde, budu to muset nějak vymyslet a udělat to tak, protože takhle bych nakonec za chvíli byla bez počítače úplně. Blbne to čím dál tím víc, brzy by se už nemusel vůbec ani zapnout. Zkusím teď nechat doběhnout tenhle test, když už se snaží 4 hodiny, a potom se uvidí...

Říkám si taky, jestli by nakonec nebylo lepší to celé prostě přeinstalovat, jenže to jsem právě dělala tak před měsícem a virus se objevil potom netuším odkud, tak aby se po tom přeinstalování neobjevil zase a celé se to neopakovalo...

[Márty84]

OK, nechte to dobehnout a uvidime.

Zalezi na vas, jak se rozhodnete. Rychlejsi by opravdu byla ta preinstalace (kdyz vezmu v uvahu, ze jen ten test ma trvat dva dny ), ale nektere viry prezijou i format, takze taky neni 100%

[Klif]

Tak teď doběhl test – vkládám to, co jsem z něj podle návodu uložila:

Status: Detected (events: 2)
10.2.2014 17:25:54 Detected Trojan program Trojan.Win32.Hosts2.gen C:\AppServ\www\dokumenty.rar//dokumenty/hosts High
10.2.2014 23:52:55 Detected Trojan program Trojan.Win32.Hosts2.gen D:\Klif\www\dokumenty.rar//dokumenty/hosts High
Status: Quarantined (events: 2)
10.2.2014 20:54:08 Quarantined unknown threat UDS:DangerousObject.Multi.Generic C:\RECYCLER\S-1-5-21-1614895754-287218729-725345543-1004\Dc12.exe High
10.2.2014 21:11:41 Quarantined unknown threat UDS:DangerousObject.Multi.Generic C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP63\A0047887.exe High


Budu se řídit vašimi radami, takže pokud je potřeba počítač zatím odpojit od internetu a nic na něm nedělat, zařídím si to.
Situace už totiž začíná být hodně kritická. Pracuju s webovými stránkami a virus se už dostal i tam, což je pořádný průšvih.
Může se mi takhle dostat vlastně všude, kam se přihlašuju přes heslo, třeba i do internetového bankovnictví, do emailu… Navíc komukoliv něco pošlu, můžu mu asi spolu s tím poslat i virus…
Taky mi došlo, že i kdybych počítač přeinstalovala, budu samozřejmě potřebovat uchovat spoustu souborů a dokumentů, a protože virus zatím tolik programů nedokázalo odhalit, klidně bych si ho mohla v nějaké složce zazálohovat a potom zase zkopírovat zpátky na nově přeinstalovaný disk, kde by mohl dál vesele pokračovat… takže to taky není řešení.
Začínám být naprosto zoufalá…

Každopádně moc a moc děkuju, že se tomu tolik věnujete.

[Márty84]

Restartujte pc do nouzoveho rezimu s praci v siti a pracujte celou dobu v nem.


Pokud ho jeste v pc mate, aktualizujte MBAM. Jestli uz ho tam nemate, znovu ho nainstalujte a aktualizujte.

Stahnete novy Combofix.

Spustte Combofix a dejte sem jeho log.

Jen doufam, ze mate dulezite veci zazalohovane, pokud mozno jeste z doby pred nakazenim

[Klif]

Dobrý den,
tak mám půjčený jiný počítač, takže s tímhle teď nebudu dělat nic jiného, než ho odvirovávat.
Jak jsme se minule domluvili, dávám sem log z toho mbaru, který jsem aktualizovala a pustila ho znovu.

Malwarebytes Anti-Rootkit BETA 1.07.0.1009
www.malwarebytes.org

Database version: v2014.02.15.03

Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
Internet Explorer 8.0.6001.18702
:: KLIFIK [administrator]

15.2.2014 10:26:54
mbar-log-2014-02-15 (10-26-54).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 263037
Time elapsed: 11 minute(s), 41 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 5
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\mbam.exe (Security.Hijack) -> Delete on reboot.
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\mbamgui.exe (Security.Hijack) -> Delete on reboot.
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\rstrui.exe (Security.Hijack) -> Delete on reboot.
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\IFBXQLLFF.EXE (Trojan.Agent) -> Delete on reboot.
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MHPXVFESL.EXE (Trojan.Agent) -> Delete on reboot.

Registry Values Detected: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|openoffic (Trojan.Agent) -> Data: "C:\Program Files\Common Files\openoffic0\mhpxvfesl.exe" -> Delete on reboot.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|openoffic (Trojan.Agent) -> Data: "C:\Program Files\Common Files\openoffic0\mhpxvfesl.exe" -> Delete on reboot.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|openoffic (Trojan.Agent) -> Data: "C:\Program Files\Common Files\openoffic0\mhpxvfesl.exe" -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 1
C:\Program Files\Common Files\openoffic0 (Trojan.Agent) -> Delete on reboot.

Files Detected: 2
C:\Program Files\Common Files\openoffic0\ifbxqllff.exe (Trojan.Agent) -> Delete on reboot.
C:\Program Files\Common Files\openoffic0\mhpxvfesl.exe (Trojan.Agent) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)


U Combofixu si nejsem jistá, jestli ho pouštět, radši se nejdřív zeptám - v nouzovém režimu mi totiž nejdou vypnout rezidentní štíty Avastu a Combofix na mě hodně píská a píše, že v takovém případě ho spustit jen "na vlastní riziko"...

[Márty84]

ComboFix spustte. I kdyz vriska, ze je Avast zapnuty, nevadi to. Nebude mu do prace nijak zasahovat

[Klif]

Takže tady to je:

ComboFix 14-02-14.01 - Klif 15.02.2014 12:35:23.3.2 - x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2047.1623 [GMT 1:00]
Spuštěný z: c:\documents and settings\Klif\Plocha\ComboFix.exe
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2014-01-15 do 2014-02-15 )))))))))))))))))))))))))))))))
.
.
2014-02-15 09:26 . 2014-02-15 09:41 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes' Anti-Malware (portable)
2014-02-09 07:53 . 2014-02-15 09:26 107224 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-02-09 07:53 . 2014-02-15 09:26 52312 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2014-02-08 15:32 . 2014-02-08 15:32 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2014-02-08 15:32 . 2013-04-04 13:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2014-02-08 15:28 . 2014-02-08 15:28 -------- d-----w- c:\documents and settings\Administrator
2014-02-08 05:08 . 2014-02-08 05:08 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2014-02-07 08:52 . 2014-02-07 08:55 -------- d-----w- c:\program files\Prison Tycoon 4
2014-02-04 00:13 . 2014-02-04 00:15 -------- d-----w- c:\program files\trend micro
2014-02-04 00:13 . 2014-02-04 00:13 -------- d-----w- C:\rsit
2014-02-02 21:46 . 2014-02-02 21:46 -------- d-----w- c:\documents and settings\All Users\Data aplikací\IObit
2014-02-02 21:46 . 2014-02-02 21:46 -------- d-----w- c:\program files\IObit Unlocker
2014-02-01 14:22 . 2014-02-02 21:41 -------- d-----w- c:\program files\The Cleaner
2014-01-31 05:07 . 2014-01-31 05:07 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE
2014-01-31 05:07 . 2014-01-31 05:07 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky
2014-01-29 06:34 . 2014-01-29 06:34 -------- d-----w- c:\documents and settings\LocalService\Nabídka Start
2014-01-23 23:21 . 2014-01-23 23:21 -------- d-----w- c:\documents and settings\Klif\.android
2014-01-23 23:20 . 2014-01-23 23:20 -------- d-----w- c:\program files\DVDVideoSoft
2014-01-23 23:20 . 2014-01-23 23:20 -------- d-----w- c:\program files\Common Files\DVDVideoSoft
2014-01-23 23:10 . 2014-01-23 23:10 -------- d-----w- c:\program files\Free Video Converter
2014-01-20 02:13 . 2014-01-20 02:13 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Gemfor
2014-01-20 01:54 . 2013-12-18 19:46 145408 ----a-w- c:\windows\system32\javacpl.cpl
2014-01-20 01:54 . 2013-12-18 20:10 94632 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-02-04 23:28 . 2014-01-03 18:28 692616 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-02-04 23:28 . 2014-01-03 18:28 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-01-05 01:09 . 2014-01-03 13:09 57672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2014-01-05 01:09 . 2014-01-03 13:09 775952 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2014-01-05 01:09 . 2014-01-03 13:09 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2014-01-05 01:09 . 2014-01-03 13:09 410528 ----a-w- c:\windows\system32\drivers\aswSP.sys
2014-01-05 01:09 . 2014-01-03 13:09 180248 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2014-01-05 01:09 . 2014-01-03 13:09 54832 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2014-01-05 01:09 . 2014-01-03 13:09 270240 ----a-w- c:\windows\system32\aswBoot.exe
2014-01-05 01:09 . 2014-01-03 13:09 43152 ----a-w- c:\windows\avastSS.scr
2014-01-04 23:02 . 2014-01-04 23:02 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2014-01-03 18:14 . 2014-01-03 18:14 243128 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2014-01-03 13:09 . 2014-01-03 13:09 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2014-01-03 13:05 . 2014-01-03 13:06 891976 ----a-w- c:\windows\system32\RTSndMgr.CPL
2014-01-03 13:05 . 2014-01-03 13:06 84584 ----a-w- c:\windows\SOUNDMAN.EXE
2014-01-03 13:05 . 2014-01-03 13:06 359016 ----a-w- c:\windows\vncutil.exe
2014-01-03 13:05 . 2014-01-03 13:06 1523416 ----a-w- c:\windows\RtlUpd.exe
2014-01-03 13:05 . 2014-01-03 13:06 9721960 ----a-w- c:\windows\RTLCPL.EXE
2014-01-03 13:05 . 2014-01-03 13:06 86232 ----a-w- c:\windows\system32\RtkCoInstIIXP.dll
2014-01-03 13:05 . 2014-01-03 13:06 5620440 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2014-01-03 13:05 . 2014-01-03 13:06 129640 ----a-w- c:\windows\RtkAudioService.exe
2014-01-03 13:05 . 2014-01-03 13:06 11368 ----a-w- c:\windows\system32\RtkCoLDRXP.dll
2014-01-03 13:05 . 2014-01-03 13:05 20145368 ----a-w- c:\windows\RTHDCPL.EXE
2014-01-03 13:05 . 2014-01-03 13:05 2180712 ----a-w- c:\windows\MicCal.exe
2014-01-03 13:05 . 2014-01-03 13:05 1395800 ----a-w- c:\windows\system32\drivers\Monfilt.sys
2014-01-03 13:05 . 2014-01-03 13:05 285288 ----a-w- c:\windows\system32\ALSNDMGR.CPL
2014-01-03 13:05 . 2014-01-03 13:05 2815592 ----a-w- c:\windows\ALCWZRD.EXE
2014-01-03 13:05 . 2014-01-03 13:05 1691480 ----a-w- c:\windows\system32\drivers\Ambfilt.sys
2014-01-03 13:05 . 2014-01-03 13:05 64104 ----a-w- c:\windows\ALCMTR.EXE
2014-01-03 13:05 . 2014-01-03 13:05 2080472 ----a-w- c:\windows\RtlExUpd.dll
2013-11-27 20:21 . 2006-03-02 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-01-05 01:09 259464 ----a-w- c:\program files\AVAST\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2011-02-04 2346496]
"tcactive"="c:\program files\The Cleaner\tcap.exe" [2013-11-24 6152272]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2014-01-03 20145368]
"AvastUI.exe"="c:\program files\AVAST\AvastUI.exe" [2014-01-05 3764024]
"NvMediaCenter"="NvMCTray.dll" [2011-04-07 111208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-04-07 13891176]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2011-02-24 1753192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes Anti-Rootkit (cleanup)"="c:\documents and settings\All Users\Data aplikací\Malwarebytes' Anti-Malware (portable)\cleanup.dll" [2014-01-08 1651512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"TaskbarNoNotification"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"TaskbarNoNotification"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NVIDIA Updatus\\daemonu.exe"=
"c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Program Files\\QIP Infium\\infium.exe"=
"c:\\AppServ\\Apache2.2\\bin\\httpd.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Documents and Settings\\Klif\\Data aplikací\\ICQM\\icq.exe"=
.
R0 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\MBAMSwissArmy.sys [9.2.2014 8:53 107224]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [3.1.2014 19:14 243128]
R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [3.1.2014 13:53 35712]
S0 aswRvrt;avast! Revert;c:\windows\system32\drivers\aswRvrt.sys [3.1.2014 14:09 49944]
S0 aswVmm;avast! VM Monitor;c:\windows\system32\drivers\aswVmm.sys [3.1.2014 14:09 180248]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [3.1.2014 14:09 775952]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [3.1.2014 14:09 410528]
S2 Apache2.2;Apache2.2;c:\appserv\Apache2.2\bin\httpd.exe [17.1.2008 18:37 24635]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [3.1.2014 14:09 67824]
S2 moohelp;The Cleaner Helper Service;c:\program files\The Cleaner\mhelper.exe [1.2.2014 15:24 816208]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [3.1.2014 14:05 1691480]
S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\DRIVERS\ew_hwusbdev.sys --> c:\windows\system32\DRIVERS\ew_hwusbdev.sys [?]
S3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows\system32\DRIVERS\ew_usbenumfilter.sys --> c:\windows\system32\DRIVERS\ew_usbenumfilter.sys [?]
S3 huawei_cdcacm;huawei_cdcacm;c:\windows\system32\DRIVERS\ew_jucdcacm.sys --> c:\windows\system32\DRIVERS\ew_jucdcacm.sys [?]
S3 huawei_cdcecm;huawei_cdcecm;c:\windows\system32\DRIVERS\ew_jucdcecm.sys --> c:\windows\system32\DRIVERS\ew_jucdcecm.sys [?]
S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys --> c:\windows\system32\DRIVERS\ew_jubusenum.sys [?]
S3 huawei_ext_ctrl;huawei_ext_ctrl;c:\windows\system32\DRIVERS\ew_juextctrl.sys --> c:\windows\system32\DRIVERS\ew_juextctrl.sys [?]
S3 IObitUnlocker;IObitUnlocker;c:\program files\IObit Unlocker\IObitUnlocker.sys [2.2.2014 22:46 26248]
.
--- Ostatní služby/ovladače v paměti ---
.
*Deregistered* - mbamchameleon
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-02-04 02:07 1211720 ----a-w- c:\program files\Google\Chrome\Application\32.0.1700.107\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2014-02-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2014-01-03 23:28]
.
2014-02-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-KLIFIK-Klif.job
- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2014-01-03 23:27]
.
2014-02-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2014-02-15 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST\AvastEmUpdate.exe [2014-01-03 01:09]
.
2014-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-01-03 17:57]
.
2014-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-01-03 17:57]
.
.
------- Doplňkový sken -------
.
mWindow Title = IE 4.01 (Microsoft Internet Explorer)
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Od&eslat do aplikace OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
TCP: DhcpNameServer = 213.46.172.36 213.46.172.37
FF - ProfilePath - c:\documents and settings\Klif\Data aplikací\Mozilla\Firefox\Profiles\c3quzlch.default\
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKU-Default-Run-Load - \apts.exe
SafeBoot-mbamchameleon
SafeBoot-MBAMSwissArmy
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-02-15 12:40
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mysql]
"ImagePath"="c:\appserv\MySQL\bin\mysqld-nt --defaults-file=c:\appserv\MySQL\my.ini mysql"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\.Default\Software\Classes\CLSID\{4689CD1A-CDAA-2C44-ABCD-953C1B35A053}]
@Denied: (A 4) (Everyone)
.
[HKEY_USERS\.Default\Software\Classes\CLSID\{EEA6CCD4-7A56-5647-8989-3160E7005EFC}]
@Denied: (A 4) (Everyone)
.
Celkový čas: 2014-02-15 12:41:34
ComboFix-quarantined-files.txt 2014-02-15 11:41
ComboFix2.txt 2014-02-08 09:06
ComboFix3.txt 2014-02-04 00:06
ComboFix4.txt 2014-01-31 21:24
.
Před spuštěním: Volných bajtů: 431 830 028 288
Po spuštění: Volných bajtů: 432 914 120 704
.
- - End Of File - - 03DF8E1C3ED60BFB489818C7ED8EAFA9
413FC2A0C716421B3158746D63736515

[Márty84]

Stale v tom nouzovem rezimu s praci v siti stahnete novy MBAM http://www.stahuj.centrum.cz/utility_a_ ... i-malware/ a zkuste ho nainstalovat, aktualizovat a spustit kompletni kontrolu.

[Klif]

Tak tohle by mělo být to z toho MBAMu:

Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware.) 1.75.0.1300
www.malwarebytes.org

Verze: v2014.02.15.04

Windows XP Service Pack 3 x86 NTFS (Nouzový režim s podporou sítě)
Internet Explorer 8.0.6001.18702
Klif :: KLIFIK [administrátor]

Ochrana: Zakázána

15.2.2014 14:44:01
MBAM-log-2014-02-15 (16-40-21).txt

Typ: Kompletní kontrola (C:\|D:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 1296745
Uplynulý čas: 1 hodin, 55 minut, 50 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 1
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Nebyla provedena žádná instrukce.

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 8
C:\Documents and Settings\Klif\Data aplikací\OpenCandy (PUP.Optional.OpenCandy) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Data aplikací\OpenCandy\7C8DB43CC26943669693CE8F095F54DB (PUP.Optional.OpenCandy) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Local Settings\Temp\CT1750559 (PUP.Optional.Conduit.A) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Local Settings\Temp\CT1750559\xpi (PUP.Optional.Conduit.A) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Local Settings\Temp\CT1750559\xpi\defaults (PUP.Optional.Conduit.A) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Local Settings\Temp\CT1750559\xpi\defaults\preferences (PUP.Optional.Conduit.A) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Data aplikací\newnext.me (PUP.Optional.NextLive.A) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Data aplikací\newnext.me\cache (PUP.Optional.NextLive.A) -> Nebyla provedena žádná instrukce.

Nalezené soubory: 50
C:\Documents and Settings\Klif\Plocha\stazene\FreeVideoConverterSetup-r0-n-bf.exe (PUP.Optional.Koyote.A) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP22\A0005503.exe (PUP.Optional.Spigot.A) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP22\A0005510.exe (PUP.Optional.Conduit.A) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP23\A0009367.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP28\A0010517.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP28\A0011453.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP32\A0012855.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP39\A0014884.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP44\A0016013.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP48\A0017419.exe (PUP.Optional.OpenCandy.A) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP48\A0018432.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP48\A0019432.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP48\A0020435.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP50\A0020680.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP51\A0020831.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP51\A0021834.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP52\A0022931.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP53\A0024058.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP53\A0026058.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP54\A0028062.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP55\A0029079.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP55\A0029081.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP56\A0033132.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP56\A0034171.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP56\A0034173.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP56\A0040131.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP58\A0041267.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP60\A0041394.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP60\A0043370.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP60\A0044371.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP60\A0045395.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP60\A0045399.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP60\A0045524.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP61\A0045657.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP61\A0047660.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP65\A0048000.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP65\A0048001.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP65\A0048002.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP65\A0048004.exe (Trojan.Dorkbot.ED) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP65\A0048006.exe (Trojan.Dorkbot.ED) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP65\A0048009.exe (PUP.Riskware.Bitminer) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP8\A0003900.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{546B1E32-C633-47FB-8F73-48E318E8B9B3}\RP8\A0003973.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
D:\Klif\programy\Office 2007\Keygen\keygen.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
D:\Klif\programy\Photoshop CS4\Keygen.exe (Trojan.Agent.CK) -> Nebyla provedena žádná instrukce.
D:\Klif\stazene\kmplayer-3.7.0.113.exe (PUP.Optional.OpenCandy) -> Nebyla provedena žádná instrukce.
D:\System Volume Information\_restore{9040B355-1049-4E3C-A8D5-819D915C9CA5}\RP59\A0023139.exe (PUP.Optional.OpenCandy) -> Nebyla provedena žádná instrukce.
D:\System Volume Information\_restore{9040B355-1049-4E3C-A8D5-819D915C9CA5}\RP59\A0023251.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Data aplikací\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Klif\Data aplikací\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Nebyla provedena žádná instrukce.

(konec)

Odstranit ty soubory jsem zatím nedala, nevím, jestli mám

[Márty84]

Vetsina te haveti je v bodech obnovy.


Postupujte presne v tomto poradi. A stale v nouzovem rezimu!
1) MBAM nezavirejte, jen minimalizujte.
2) Vymazte/Vypnete vytvareni bodu obnovy http://forum.viry.cz/viewtopic.php?f=46&t=47040 , ale nerestartujte pc.
3) Ted nechte nalezy MBAM odstranit a restartujte pc.
4) Zatim stale nezapinejte vytvareni bodu obnovy.
5) Udelejte novy test s MBAR a MBAM a dejte sem vysledky.