Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Keylogger
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Re: Keylogger
Můžete prosím ten skript zopakovat? Příkazy se neprovedly
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: Keylogger
ComboFix 14-08-02.02 - Pepa . 08. 2014 9:50.3.4 - x64
Microsoft Windows® 8 Underground™ 2013 x64 6.2.9200.0.1250.420.1033.18.7648.5824 [GMT 2:00]
Spuštěný z: c:\users\Pepa\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Pepa\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AV: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: avast! Antivirus *Disabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\SysWOW64\Drivers\X6va022"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\regedit.exe . . . je infikován!!
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_X6va022
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2014-07-06 do 2014-08-06 )))))))))))))))))))))))))))))))
.
.
2014-08-06 07:55 . 2014-08-06 07:55 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-08-06 07:31 . 2014-08-06 07:31 43152 ----a-w- c:\windows\avastSS.scr
2014-08-06 07:30 . 2014-08-06 07:55 -------- d-----w- c:\users\Pepa\AppData\Local\temp
2014-08-02 11:45 . 2010-08-30 06:34 536576 ----a-w- c:\windows\SysWow64\sqlite3.dll
2014-08-02 10:45 . 2014-08-02 10:45 -------- d-----w- c:\windows\ERUNT
2014-08-01 13:14 . 2014-08-01 13:14 -------- d-----w- C:\rsit
2014-08-01 13:14 . 2014-08-01 13:14 -------- d-----w- c:\program files (x86)\trend micro
2014-07-31 13:03 . 2014-07-31 13:03 -------- d-----w- c:\users\Pepa\AppData\Roaming\Apple Computer
2014-07-31 08:17 . 2014-07-31 08:17 -------- d-----w- c:\program files (x86)\Common Files\Apple
2014-07-31 08:17 . 2014-07-31 08:17 -------- d-----w- c:\users\Pepa\AppData\Local\Apple
2014-07-31 08:17 . 2014-07-31 08:17 -------- d-----w- c:\program files (x86)\Apple Software Update
2014-07-31 08:17 . 2014-07-31 08:17 -------- d-----w- c:\programdata\Apple
2014-07-29 12:31 . 2014-07-29 12:31 -------- d-----w- c:\program files (x86)\LogMeIn Hamachi
2014-07-21 15:08 . 2014-07-21 15:08 46136 ---ha-w- c:\windows\system32\drivers\Hamdrv.sys
2014-07-17 14:01 . 2014-07-17 14:01 -------- d-----w- c:\programdata\Riot Games
2014-07-13 12:31 . 2014-07-14 16:16 -------- d-----w- c:\program files (x86)\Movie Maker 2.6
2014-07-13 12:30 . 2014-07-13 12:30 -------- d-----w- C:\UpdateChromeLinksLogs
2014-07-13 12:29 . 2014-07-13 12:29 348160 ----a-w- c:\windows\SysWow64\msvcr71.dll
2014-07-13 12:29 . 2014-07-13 12:29 1060864 ----a-w- c:\windows\SysWow64\mfc71.dll
2014-07-13 12:23 . 2014-07-13 12:23 -------- d-----w- c:\users\Pepa\AppData\Local\Comodo
2014-07-13 12:19 . 2014-07-13 12:39 -------- d-----w- c:\program files (x86)\FreeTime
2014-07-13 10:47 . 2014-07-22 11:51 -------- d-----w- c:\users\Pepa\AppData\Local\WMTools Downloaded Files
2014-07-13 10:22 . 2014-07-13 10:23 -------- d-----w- C:\Fraps
2014-07-11 16:08 . 2014-07-11 16:08 -------- d-----w- c:\users\Pepa\AppData\Roaming\Curse
2014-07-09 13:09 . 2014-07-09 13:09 -------- d-----w- c:\users\Pepa\AppData\Roaming\Awesomium
2014-07-09 13:09 . 2014-07-09 13:09 -------- d-----w- c:\programdata\Hi-Rez Studios
2014-07-09 13:08 . 2014-07-09 13:09 -------- d-----w- c:\program files (x86)\Hi-Rez Studios
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-08-06 07:32 . 2014-05-12 11:55 427360 ----a-w- c:\windows\system32\drivers\aswsp.sys
2014-08-06 07:32 . 2014-05-12 11:55 92008 ----a-w- c:\windows\system32\drivers\aswstm.sys
2014-08-06 07:32 . 2014-05-12 11:55 1041168 ----a-w- c:\windows\system32\drivers\aswsnx.sys
2014-08-06 07:32 . 2014-05-02 04:04 93568 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2014-08-06 07:32 . 2014-05-02 04:04 79184 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2014-08-06 07:32 . 2014-05-02 04:04 65776 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2014-08-06 07:32 . 2014-05-02 04:04 29208 ----a-w- c:\windows\system32\drivers\aswHwid.sys
2014-08-06 07:32 . 2014-05-02 04:04 224896 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2014-08-06 07:32 . 2014-05-02 04:04 307344 ----a-w- c:\windows\system32\aswBoot.exe
2014-07-01 08:15 . 2014-07-01 08:15 257704 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10243.bin
2014-06-17 14:52 . 2014-06-17 14:52 290184 ----a-w- c:\windows\SysWow64\PnkBstrB.exe
2014-06-17 14:52 . 2014-06-02 09:08 290184 ----a-w- c:\windows\SysWow64\PnkBstrB.xtr
2014-06-17 14:52 . 2014-06-17 14:52 280904 ----a-w- c:\windows\SysWow64\PnkBstrB.ex0
2014-06-02 09:13 . 2014-05-31 10:02 76888 ----a-w- c:\windows\SysWow64\PnkBstrA.exe
2014-05-19 18:57 . 2014-05-19 18:58 107040 ----a-w- c:\windows\SysWow64\EasyAntiCheat.exe
2013-01-05 03:45 . 2013-01-25 09:20 262704 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2013-01-26 . EE52CE3FC612D6F2E6CE0554DED47FC3 . 381440 . . [6.2.9200.16384] .. c:\windows\WinSxS\amd64_microsoft-windows-registry-editor_31bf3856ad364e35_6.2.9200.16384_none_4cf85cc9659cdc8e\regedit.exe
[-] 2013-01-26 . EE52CE3FC612D6F2E6CE0554DED47FC3 . 355328 . . [6.2.9200.16384] .. c:\windows\regedit.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2014-03-04 3696912]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2014-05-08 21446272]
"Overwolf"="c:\program files (x86)\Overwolf\Overwolf.exe" [2014-07-28 39712]
"uTorrent"="c:\users\Pepa\AppData\Roaming\uTorrent\uTorrent.exe" [2014-07-31 1936720]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-08-06 4085896]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2014-07-21 3816784]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 0 (0x0)
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ConfirmFileDelete"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys;c:\windows\SYSNATIVE\drivers\aswStm.sys [x]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
R3 EasyAntiCheat;EasyAntiCheat;c:\windows\system32\EasyAntiCheat.exe;c:\windows\SYSNATIVE\EasyAntiCheat.exe [x]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 NvStUSB;NVIDIA Stereoscopic 3D USB driver;c:\windows\System32\drivers\nvstusb.sys;c:\windows\SYSNATIVE\drivers\nvstusb.sys [x]
R3 OverwolfUpdater;Overwolf Updater Windows SCM;c:\program files (x86)\Overwolf\OverwolfUpdater.exe;c:\program files (x86)\Overwolf\OverwolfUpdater.exe [x]
R4 vmicheartbeat;Hyper-V Heartbeat Service;c:\windows\system32\svchost.exe;c:\windows\SYSNATIVE\svchost.exe [x]
S0 amdkmpfd;AMD PCI Root Bus Lower Filter;c:\windows\System32\drivers\amdkmpfd.sys;c:\windows\SYSNATIVE\drivers\amdkmpfd.sys [x]
S0 aswRvrt;avast! Revert; [x]
S0 aswVmm;avast! VM Monitor; [x]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys;c:\windows\SYSNATIVE\drivers\aswSnx.sys [x]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys;c:\windows\SYSNATIVE\drivers\aswSP.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\System32\drivers\dtsoftbus01.sys;c:\windows\SYSNATIVE\drivers\dtsoftbus01.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys;c:\windows\SYSNATIVE\drivers\aswHwid.sys [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys;c:\windows\SYSNATIVE\drivers\aswMonFlt.sys [x]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [x]
S2 HiPatchService;Hi-Rez Studios Authenticate and Update Service;c:\program files (x86)\Hi-Rez Studios\HiPatchService.exe;c:\program files (x86)\Hi-Rez Studios\HiPatchService.exe [x]
S2 LMIGuardianSvc;LMIGuardianSvc;c:\program files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe;c:\program files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW86.sys;c:\windows\SYSNATIVE\drivers\AtihdW86.sys [x]
S3 RTL8168;Realtek 8168 NT Driver;c:\windows\system32\DRIVERS\Rt630x64.sys;c:\windows\SYSNATIVE\DRIVERS\Rt630x64.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-04-10 17:46 1077576 ----a-w- c:\program files (x86)\Google\Chrome\Application\34.0.1847.116\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2014-08-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-25 17:36]
.
2014-08-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-07-25 17:29]
.
2014-08-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-07-25 17:29]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-08-06 07:32 634872 ----a-w- c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
.
------- Doplňkový sken -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
Trusted Zone: facebook.com\www
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Pepa\AppData\Roaming\Mozilla\Firefox\Profiles\7u81c25g.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo!
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=greentree_ff1&type=402027&ilc=12&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: avast! Online Security: wrc@avast.com - c:\program files\AVAST Software\Avast\WebRep\FF
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
@SACL=(02 0000)
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files (x86)\Common Files\Overwolf\0.78.34.0\OverwolfHelper.exe
c:\program files (x86)\Overwolf\0.78.34.0\OverwolfBrowser.exe
.
**************************************************************************
.
Celkový čas: 2014-08-06 10:01:26 - počítač byl restartován
ComboFix-quarantined-files.txt 2014-08-06 08:01
ComboFix2.txt 2014-08-06 07:30
ComboFix3.txt 2014-08-02 14:45
.
Před spuštěním: 46 532 669 440 bytes free
Po spuštění: 46 335 733 760 bytes free
.
- - End Of File - - 6B7321CBFD94A8A0F70F02C6D96545E5
A36C5E4F47E84449FF07ED3517B43A31
Microsoft Windows® 8 Underground™ 2013 x64 6.2.9200.0.1250.420.1033.18.7648.5824 [GMT 2:00]
Spuštěný z: c:\users\Pepa\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Pepa\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AV: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: avast! Antivirus *Disabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\SysWOW64\Drivers\X6va022"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\regedit.exe . . . je infikován!!
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_X6va022
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2014-07-06 do 2014-08-06 )))))))))))))))))))))))))))))))
.
.
2014-08-06 07:55 . 2014-08-06 07:55 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-08-06 07:31 . 2014-08-06 07:31 43152 ----a-w- c:\windows\avastSS.scr
2014-08-06 07:30 . 2014-08-06 07:55 -------- d-----w- c:\users\Pepa\AppData\Local\temp
2014-08-02 11:45 . 2010-08-30 06:34 536576 ----a-w- c:\windows\SysWow64\sqlite3.dll
2014-08-02 10:45 . 2014-08-02 10:45 -------- d-----w- c:\windows\ERUNT
2014-08-01 13:14 . 2014-08-01 13:14 -------- d-----w- C:\rsit
2014-08-01 13:14 . 2014-08-01 13:14 -------- d-----w- c:\program files (x86)\trend micro
2014-07-31 13:03 . 2014-07-31 13:03 -------- d-----w- c:\users\Pepa\AppData\Roaming\Apple Computer
2014-07-31 08:17 . 2014-07-31 08:17 -------- d-----w- c:\program files (x86)\Common Files\Apple
2014-07-31 08:17 . 2014-07-31 08:17 -------- d-----w- c:\users\Pepa\AppData\Local\Apple
2014-07-31 08:17 . 2014-07-31 08:17 -------- d-----w- c:\program files (x86)\Apple Software Update
2014-07-31 08:17 . 2014-07-31 08:17 -------- d-----w- c:\programdata\Apple
2014-07-29 12:31 . 2014-07-29 12:31 -------- d-----w- c:\program files (x86)\LogMeIn Hamachi
2014-07-21 15:08 . 2014-07-21 15:08 46136 ---ha-w- c:\windows\system32\drivers\Hamdrv.sys
2014-07-17 14:01 . 2014-07-17 14:01 -------- d-----w- c:\programdata\Riot Games
2014-07-13 12:31 . 2014-07-14 16:16 -------- d-----w- c:\program files (x86)\Movie Maker 2.6
2014-07-13 12:30 . 2014-07-13 12:30 -------- d-----w- C:\UpdateChromeLinksLogs
2014-07-13 12:29 . 2014-07-13 12:29 348160 ----a-w- c:\windows\SysWow64\msvcr71.dll
2014-07-13 12:29 . 2014-07-13 12:29 1060864 ----a-w- c:\windows\SysWow64\mfc71.dll
2014-07-13 12:23 . 2014-07-13 12:23 -------- d-----w- c:\users\Pepa\AppData\Local\Comodo
2014-07-13 12:19 . 2014-07-13 12:39 -------- d-----w- c:\program files (x86)\FreeTime
2014-07-13 10:47 . 2014-07-22 11:51 -------- d-----w- c:\users\Pepa\AppData\Local\WMTools Downloaded Files
2014-07-13 10:22 . 2014-07-13 10:23 -------- d-----w- C:\Fraps
2014-07-11 16:08 . 2014-07-11 16:08 -------- d-----w- c:\users\Pepa\AppData\Roaming\Curse
2014-07-09 13:09 . 2014-07-09 13:09 -------- d-----w- c:\users\Pepa\AppData\Roaming\Awesomium
2014-07-09 13:09 . 2014-07-09 13:09 -------- d-----w- c:\programdata\Hi-Rez Studios
2014-07-09 13:08 . 2014-07-09 13:09 -------- d-----w- c:\program files (x86)\Hi-Rez Studios
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-08-06 07:32 . 2014-05-12 11:55 427360 ----a-w- c:\windows\system32\drivers\aswsp.sys
2014-08-06 07:32 . 2014-05-12 11:55 92008 ----a-w- c:\windows\system32\drivers\aswstm.sys
2014-08-06 07:32 . 2014-05-12 11:55 1041168 ----a-w- c:\windows\system32\drivers\aswsnx.sys
2014-08-06 07:32 . 2014-05-02 04:04 93568 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2014-08-06 07:32 . 2014-05-02 04:04 79184 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2014-08-06 07:32 . 2014-05-02 04:04 65776 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2014-08-06 07:32 . 2014-05-02 04:04 29208 ----a-w- c:\windows\system32\drivers\aswHwid.sys
2014-08-06 07:32 . 2014-05-02 04:04 224896 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2014-08-06 07:32 . 2014-05-02 04:04 307344 ----a-w- c:\windows\system32\aswBoot.exe
2014-07-01 08:15 . 2014-07-01 08:15 257704 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10243.bin
2014-06-17 14:52 . 2014-06-17 14:52 290184 ----a-w- c:\windows\SysWow64\PnkBstrB.exe
2014-06-17 14:52 . 2014-06-02 09:08 290184 ----a-w- c:\windows\SysWow64\PnkBstrB.xtr
2014-06-17 14:52 . 2014-06-17 14:52 280904 ----a-w- c:\windows\SysWow64\PnkBstrB.ex0
2014-06-02 09:13 . 2014-05-31 10:02 76888 ----a-w- c:\windows\SysWow64\PnkBstrA.exe
2014-05-19 18:57 . 2014-05-19 18:58 107040 ----a-w- c:\windows\SysWow64\EasyAntiCheat.exe
2013-01-05 03:45 . 2013-01-25 09:20 262704 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2013-01-26 . EE52CE3FC612D6F2E6CE0554DED47FC3 . 381440 . . [6.2.9200.16384] .. c:\windows\WinSxS\amd64_microsoft-windows-registry-editor_31bf3856ad364e35_6.2.9200.16384_none_4cf85cc9659cdc8e\regedit.exe
[-] 2013-01-26 . EE52CE3FC612D6F2E6CE0554DED47FC3 . 355328 . . [6.2.9200.16384] .. c:\windows\regedit.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2014-03-04 3696912]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2014-05-08 21446272]
"Overwolf"="c:\program files (x86)\Overwolf\Overwolf.exe" [2014-07-28 39712]
"uTorrent"="c:\users\Pepa\AppData\Roaming\uTorrent\uTorrent.exe" [2014-07-31 1936720]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-08-06 4085896]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2014-07-21 3816784]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 0 (0x0)
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ConfirmFileDelete"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys;c:\windows\SYSNATIVE\drivers\aswStm.sys [x]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
R3 EasyAntiCheat;EasyAntiCheat;c:\windows\system32\EasyAntiCheat.exe;c:\windows\SYSNATIVE\EasyAntiCheat.exe [x]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 NvStUSB;NVIDIA Stereoscopic 3D USB driver;c:\windows\System32\drivers\nvstusb.sys;c:\windows\SYSNATIVE\drivers\nvstusb.sys [x]
R3 OverwolfUpdater;Overwolf Updater Windows SCM;c:\program files (x86)\Overwolf\OverwolfUpdater.exe;c:\program files (x86)\Overwolf\OverwolfUpdater.exe [x]
R4 vmicheartbeat;Hyper-V Heartbeat Service;c:\windows\system32\svchost.exe;c:\windows\SYSNATIVE\svchost.exe [x]
S0 amdkmpfd;AMD PCI Root Bus Lower Filter;c:\windows\System32\drivers\amdkmpfd.sys;c:\windows\SYSNATIVE\drivers\amdkmpfd.sys [x]
S0 aswRvrt;avast! Revert; [x]
S0 aswVmm;avast! VM Monitor; [x]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys;c:\windows\SYSNATIVE\drivers\aswSnx.sys [x]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys;c:\windows\SYSNATIVE\drivers\aswSP.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\System32\drivers\dtsoftbus01.sys;c:\windows\SYSNATIVE\drivers\dtsoftbus01.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys;c:\windows\SYSNATIVE\drivers\aswHwid.sys [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys;c:\windows\SYSNATIVE\drivers\aswMonFlt.sys [x]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [x]
S2 HiPatchService;Hi-Rez Studios Authenticate and Update Service;c:\program files (x86)\Hi-Rez Studios\HiPatchService.exe;c:\program files (x86)\Hi-Rez Studios\HiPatchService.exe [x]
S2 LMIGuardianSvc;LMIGuardianSvc;c:\program files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe;c:\program files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW86.sys;c:\windows\SYSNATIVE\drivers\AtihdW86.sys [x]
S3 RTL8168;Realtek 8168 NT Driver;c:\windows\system32\DRIVERS\Rt630x64.sys;c:\windows\SYSNATIVE\DRIVERS\Rt630x64.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-04-10 17:46 1077576 ----a-w- c:\program files (x86)\Google\Chrome\Application\34.0.1847.116\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2014-08-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-25 17:36]
.
2014-08-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-07-25 17:29]
.
2014-08-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-07-25 17:29]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-08-06 07:32 634872 ----a-w- c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
.
------- Doplňkový sken -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
Trusted Zone: facebook.com\www
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Pepa\AppData\Roaming\Mozilla\Firefox\Profiles\7u81c25g.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo!
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=greentree_ff1&type=402027&ilc=12&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: avast! Online Security: wrc@avast.com - c:\program files\AVAST Software\Avast\WebRep\FF
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
@SACL=(02 0000)
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files (x86)\Common Files\Overwolf\0.78.34.0\OverwolfHelper.exe
c:\program files (x86)\Overwolf\0.78.34.0\OverwolfBrowser.exe
.
**************************************************************************
.
Celkový čas: 2014-08-06 10:01:26 - počítač byl restartován
ComboFix-quarantined-files.txt 2014-08-06 08:01
ComboFix2.txt 2014-08-06 07:30
ComboFix3.txt 2014-08-02 14:45
.
Před spuštěním: 46 532 669 440 bytes free
Po spuštění: 46 335 733 760 bytes free
.
- - End Of File - - 6B7321CBFD94A8A0F70F02C6D96545E5
A36C5E4F47E84449FF07ED3517B43A31
Re: Keylogger
Inst. cd k win8 asi nemáte že? nebo druhý pc s win8, musíme nahradit jeden soubor.
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: Keylogger
A je to vážné ?.. Co mám teda udělat ? 
Re: Keylogger
Já ho zkusím sehnat, ale budu tu až večer. Vy zatím vyzkoušejte pc
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: Keylogger
Ten systém je legální?
Možná že ten soubor je ok, jen combofix není ještě uplně pro win8. Popřemýšlím nad tím.
Možná že ten soubor je ok, jen combofix není ještě uplně pro win8. Popřemýšlím nad tím.
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: Keylogger
Ten systém bohužel legální není :/
Re: Keylogger
Tak to jsem si myslela, protože tuhle edici win8 fakt jen tak neseženu, abych z ní okopírovala soubor.
Nezlobte se, ale dle pravidel fora se zde nelegální systémeme nezabýváme
Nezlobte se, ale dle pravidel fora se zde nelegální systémeme nezabýváme
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: Keylogger
Mohl bych aspoň vědět co stím mám ? ..
Re: Keylogger
No, ted by to mělo být teoreticky čisté. U toho souboru regedit.exe si nejsem úplně jistá, jestli je skutečně zavirovaný, protože to může být falešná detekce combofixu
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: Keylogger
I tak opravdu děkuji za pomoc a ochotu
Re: Keylogger
A jestli mohu doporučit - s tím nelegálním systémem něco udělejte
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Přispějete na provoz fóra?