Dobrej,
po dlouhé době a několika zjevně nebezpečných navštívených stránkách se mi v PC objevila havěť.
Konkrétně se jedná o věc, kterou no32 identifikuje jako Win32.Delf.NFB.
Červ se projevuje tak, že po vložení flash disku se na něj snaží skopírovat,což opkauje každých pár sekund(každou sekundu?).
Rezidentní štít ho identifikuje jako již zmíněného červa a uloží do karantény, ale zdroj (odkud se kopíruje) je stále neznámý.
I po projetí PC MWAVem,ESET nod32 antivirus,hijackthis atp. se nic nenašlo (krom několika errorů a údajných malwarů,jejich umístění je kdesi v souborovém systému - MWAV).
Aktuálně ještě skusím Spybot,ad-aware a ještě jednou MWAV,nod32a a vložím log z HijackThis.
RSIT nebo jak se to jmenuje údajně není kompatibilní s Win7,takže jeho log asi nevložím.
Vlastním Win7 proffesional a na pc běží placená aktualizovaná verze nod32 antivirus.
//EDIT: K tomu jsem měl myslím ještě jeden virus, který jsem ale odstranil okamžitě jak jsem si ho všiml, protože se uložil na C: do složky system64 - což mi bylo divný,protože se se soubor jmenoval explorer.exe a spouštěl se po startu místo normáního exploreru, plus mel divnou ikonu,která vypadala jako modrá mlha - jméno bohužel nevím, ale hned po něm jsem provedl kontrolu MWAVem a ten nic dalšího nenašel. Pokud jsem udělal pitomost omlouvám se.
Log z HJT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04:30, on 23.1.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Windows\explorer.exe
D:\hijackthis.exe
C:\Windows\system32\SearchFilterHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Převést cíl vazby do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Převést cíl vazby do existujícího PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Převést do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Převést vybrané vazby do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Převést vybrané vazby do existujícího PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Převést výběr do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Převést výběr do existujícího PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Přidat do stávajícího PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O13 - Gopher Prefix:
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Win32.Delf.NFB
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
-
Hulkee
- Vzorný návštěvník
- Příspěvky: 442
- Registrován: 16 čer 2007 13:22
- Bydliště: Vrchlabsko
- Kontaktovat uživatele:
Win32.Delf.NFB
Per aspera ad astra! In æternum et ultra!
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!
“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
-
Unlimited_Killer
- Přítel fóra
- Příspěvky: 1969
- Registrován: 24 srp 2009 16:18
Re: Win32.Delf.NFB
Pustíme tam ComboFix.
Jinak RSIT lze spustit když ho pustíte s kompatibilitou s Windows XP.
~~~
Vložte sem log z ComboFix.
Stáhněte a uložte na Plochu ComboFix, poté ho spusťte s administrátorským oprávněním.
Ještě před spuštěním vypněte rezidentní štít antiviru, či antispywaru.
Po spuštění se Vám zobrazí licenční podmínky, klikněte na 'Ano'. Budete také dotázán na instalaci konzole pro zotavení, klikněte na 'Ano'.
Celý sken bude trvat tak 5-10 minut, v závislosti na tom, kolika soubory se bude CF prodírat. Váš PC bude pravděpodobně restartován, tak se toho neděste. Než úplně skončí sken, nic nedělejte, hlavně neklikejte do spuštěného okna s ComboFixem.
Po skončení skenu na Vás vypadne log, který vkopírujete sem.
Jinak RSIT lze spustit když ho pustíte s kompatibilitou s Windows XP.
~~~
Vložte sem log z ComboFix.
Stáhněte a uložte na Plochu ComboFix, poté ho spusťte s administrátorským oprávněním.
Ještě před spuštěním vypněte rezidentní štít antiviru, či antispywaru.
Po spuštění se Vám zobrazí licenční podmínky, klikněte na 'Ano'. Budete také dotázán na instalaci konzole pro zotavení, klikněte na 'Ano'.
Celý sken bude trvat tak 5-10 minut, v závislosti na tom, kolika soubory se bude CF prodírat. Váš PC bude pravděpodobně restartován, tak se toho neděste. Než úplně skončí sken, nic nedělejte, hlavně neklikejte do spuštěného okna s ComboFixem.
Po skončení skenu na Vás vypadne log, který vkopírujete sem.
inactive
-
Hulkee
- Vzorný návštěvník
- Příspěvky: 442
- Registrován: 16 čer 2007 13:22
- Bydliště: Vrchlabsko
- Kontaktovat uživatele:
Re: Win32.Delf.NFB
CF Log:
ComboFix 10-01-22.03 - hulk 23.01.2010 15:38:08.1.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1250.420.1033.18.3037.1981 [GMT 1:00]
Spuštěný z: c:\users\hulk\Desktop\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\temp
c:\users\hulk\AppData\Roaming\logs.dat
c:\windows\Fonts\MyriadPro-Regular.otf
c:\windows\Help\help
c:\windows\Help\help\en-US\Help.h1c
c:\windows\Help\help\en-US\Help.H1T
c:\windows\Help\help\en-US\Help_AssetId.H1K
c:\windows\Help\help\en-US\Help_BestBet.H1K
c:\windows\Help\help\en-US\Help_LinkTerm.H1K
c:\windows\Help\help\en-US\Help_SubjectTerm.H1K
c:\windows\Help\help\en-US\resources.H1S
c:\windows\Help\help\en-US\stopwrds.stp
c:\windows\system32\images
c:\windows\system32\images\toolbar\calendar.gif
c:\windows\system32\images\toolbar\crlogo.gif
c:\windows\system32\images\toolbar\export.gif
c:\windows\system32\images\toolbar\export_over.gif
c:\windows\system32\images\toolbar\exportd.gif
c:\windows\system32\images\toolbar\First.gif
c:\windows\system32\images\toolbar\first_over.gif
c:\windows\system32\images\toolbar\Firstd.gif
c:\windows\system32\images\toolbar\gotopage.gif
c:\windows\system32\images\toolbar\gotopage_over.gif
c:\windows\system32\images\toolbar\gotopaged.gif
c:\windows\system32\images\toolbar\grouptree.gif
c:\windows\system32\images\toolbar\grouptree_over.gif
c:\windows\system32\images\toolbar\grouptreed.gif
c:\windows\system32\images\toolbar\grouptreepressed.gif
c:\windows\system32\images\toolbar\Last.gif
c:\windows\system32\images\toolbar\last_over.gif
c:\windows\system32\images\toolbar\Lastd.gif
c:\windows\system32\images\toolbar\Next.gif
c:\windows\system32\images\toolbar\next_over.gif
c:\windows\system32\images\toolbar\Nextd.gif
c:\windows\system32\images\toolbar\Prev.gif
c:\windows\system32\images\toolbar\prev_over.gif
c:\windows\system32\images\toolbar\Prevd.gif
c:\windows\system32\images\toolbar\print.gif
c:\windows\system32\images\toolbar\print_over.gif
c:\windows\system32\images\toolbar\printd.gif
c:\windows\system32\images\toolbar\Refresh.gif
c:\windows\system32\images\toolbar\refresh_over.gif
c:\windows\system32\images\toolbar\refreshd.gif
c:\windows\system32\images\toolbar\Search.gif
c:\windows\system32\images\toolbar\search_over.gif
c:\windows\system32\images\toolbar\searchd.gif
c:\windows\system32\images\toolbar\up.gif
c:\windows\system32\images\toolbar\up_over.gif
c:\windows\system32\images\toolbar\upd.gif
c:\windows\system32\images\tree\begindots.gif
c:\windows\system32\images\tree\beginminus.gif
c:\windows\system32\images\tree\beginplus.gif
c:\windows\system32\images\tree\blank.gif
c:\windows\system32\images\tree\blankdots.gif
c:\windows\system32\images\tree\dots.gif
c:\windows\system32\images\tree\lastdots.gif
c:\windows\system32\images\tree\lastminus.gif
c:\windows\system32\images\tree\lastplus.gif
c:\windows\system32\images\tree\Magnify.gif
c:\windows\system32\images\tree\minus.gif
c:\windows\system32\images\tree\minusbox.gif
c:\windows\system32\images\tree\plus.gif
c:\windows\system32\images\tree\plusbox.gif
c:\windows\system32\images\tree\singleminus.gif
c:\windows\system32\images\tree\singleplus.gif
c:\windows\system32\twain_32.dll
.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-23 do 2010-01-23 )))))))))))))))))))))))))))))))
.
2010-01-23 14:35 . 2010-01-23 14:36 -------- d-----w- C:\32788R22FWJFW
2010-01-22 17:14 . 2010-01-22 17:14 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-22 15:10 . 2009-12-19 09:02 977920 ----a-w- c:\windows\system32\wininet.dll
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\VDLL.DLL
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\system32\runouce.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\rundll16.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\logo1_.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\logo_1.exe
2010-01-21 13:20 . 2010-01-21 13:20 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-01-21 13:20 . 2010-01-21 13:20 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-01-21 13:20 . 2010-01-21 13:20 34048 ----a-w- c:\windows\system32\eEmpty.exe
2010-01-21 13:20 . 2010-01-21 13:20 -------- d-----w- c:\program files\Common Files\MicroWorld
2010-01-21 13:20 . 2010-01-21 13:20 -------- d-----w- c:\programdata\MicroWorld
2010-01-19 21:31 . 2010-01-19 21:31 925696 ----a-w- c:\windows\system32\ZEnde.exe
2010-01-19 20:55 . 2010-01-19 20:36 738058 --sha-r- c:\windows\SysData.exe
2010-01-17 18:22 . 2010-01-17 18:22 -------- d-----w- C:\patch175
2010-01-13 10:04 . 2009-10-19 14:10 108544 ----a-w- c:\windows\system32\t2embed.dll
2010-01-13 10:04 . 2009-10-19 14:10 70656 ----a-w- c:\windows\system32\fontsub.dll
2010-01-07 22:33 . 2010-01-20 19:41 -------- d-----w- c:\program files\Common Files\Steam
2010-01-07 22:33 . 2010-01-22 16:42 -------- d-----w- c:\program files\Steam
2010-01-05 14:44 . 2007-03-23 11:05 29272 ----a-w- c:\windows\system32\AdobePDF.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 13:01 . 2009-09-22 06:58 -------- d-----w- c:\program files\Windows Mobile 5.0 SDK R2
2010-01-21 12:59 . 2009-11-09 21:44 -------- d-----w- c:\program files\Cheat Engine
2010-01-21 12:51 . 2009-10-12 07:06 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 12:25 . 2009-12-18 09:57 -------- d-----w- c:\program files\JDownloader
2010-01-18 22:25 . 2009-09-13 13:34 -------- d-----w- c:\programdata\VMware
2010-01-16 21:34 . 2009-09-14 13:24 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-01-16 21:33 . 2009-09-14 13:24 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-01-14 13:34 . 2009-09-13 14:15 -------- d-----w- c:\users\hulk\AppData\Roaming\VMware
2010-01-14 10:12 . 2009-10-03 13:25 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-13 10:25 . 2009-09-15 19:09 -------- d-----w- c:\programdata\Microsoft Help
2010-01-04 20:43 . 2009-09-14 13:24 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-01-02 15:13 . 2009-09-13 09:28 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-31 18:38 . 2009-09-14 13:24 22328 ----a-w- c:\users\hulk\AppData\Roaming\PnkBstrK.sys
2009-12-31 18:38 . 2009-09-14 13:24 22328 ----a-w- c:\users\hulk\AppData\Roaming\PnkBstrK.sys
2009-12-31 18:30 . 2009-11-18 21:23 -------- d-----w- c:\program files\Activision
2009-12-20 12:07 . 2009-12-20 12:07 -------- d-----w- c:\program files\Lionhead Studios
2009-12-18 09:57 . 2009-12-18 09:57 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-18 09:57 . 2009-12-18 09:57 -------- d-----w- c:\program files\Java
2009-12-14 17:11 . 2009-12-14 17:11 -------- d-----w- c:\users\hulk\AppData\Roaming\com.adobe.example.avatarAirApplication.199ED43C2CFEB351CD0244628B93195D7C58F98C.1
2009-12-14 17:11 . 2009-12-14 17:11 -------- d-----w- c:\program files\Common Files\Adobe AIR
2009-12-14 17:10 . 2009-12-14 17:11 38784 ----a-w- c:\users\hulk\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-14 17:10 . 2009-12-14 17:11 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-02 15:27 . 2009-11-05 11:59 -------- d-----w- c:\program files\Opera
2009-12-02 11:56 . 2009-09-24 07:25 -------- d-----w- c:\program files\Wolfram Research
2009-10-29 16:24 . 2009-09-13 09:35 116880 ----a-w- c:\users\hulk\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-29 07:22 . 2009-11-25 08:43 2048 ----a-w- c:\windows\system32\tzres.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"Steam"="c:\program files\steam\steam.exe" [2010-01-07 1217808]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-31 7731744]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat Speed Launcher.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
backup=c:\windows\pss\Adobe Acrobat Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-01-11 18:54 623992 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
2009-09-29 14:54 2356088 ----a-w- c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EZEHM]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-24 03:16 203928 ----a-w- c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray]
2008-09-18 21:11 84528 ----a-w- c:\program files\VMware\VMware Workstation\vmware-tray.exe
R1 ehdrv;ehdrv;c:\windows\System32\drivers\ehdrv.sys [14.5.2009 14:47 107256]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\System32\drivers\vwififlt.sys [14.7.2009 0:52 48128]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\System32\atiesrxx.exe [18.8.2009 1:36 176128]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [14.5.2009 14:47 731840]
R2 epfwwfpr;epfwwfpr;c:\windows\System32\drivers\epfwwfpr.sys [14.5.2009 14:49 93312]
R2 vmci;VMware vmci;c:\windows\System32\drivers\vmci.sys [18.9.2008 22:12 54960]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\System32\drivers\VSTAZL3.SYS [13.7.2009 23:13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\System32\drivers\VSTDPV3.SYS [13.7.2009 23:13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\System32\drivers\VSTCNXT3.SYS [13.7.2009 23:13 661504]
R3 winbondcir;Winbond IR Transceiver;c:\windows\System32\drivers\winbondcir.sys [28.3.2007 6:51 43008]
S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [22.1.2010 18:14 691696]
S4 Apache2.2;Apache2.2;c:\xampp\apache\bin\httpd.exe [24.11.2009 14:37 24640]
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést cíl vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést vybrané vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést vybrané vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Převést výběr do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést výběr do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Přidat do stávajícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\program files\VMware\VMware Workstation\vsocklib.dll
FF - ProfilePath - c:\users\hulk\AppData\Roaming\Mozilla\Firefox\Profiles\tfn7qjpa.default\
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
MSConfigStartUp-HKCU - c:\system_64\explorer.exe
MSConfigStartUp-HKLM - c:\system_64\explorer.exe
MSConfigStartUp-IntelliPoint - c:\program files\Microsoft IntelliPoint\ipoint.exe
MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\QTTask.exe
ActiveSetup-{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500} - c:\system_64\explorer.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\msftesql]
"ImagePath"="\"c:\program files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe\" -s:MSSQL.2 -f:MSSQLSERVER"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Celkový čas: 2010-01-23 15:47:43
ComboFix-quarantined-files.txt 2010-01-23 14:47
Před spuštěním: 36 154 187 776 bytes free
Po spuštění: 35 868 282 880 bytes free
- - End Of File - - BFC4DCB360A537902799BDB48F1EB376
P.S.: Pokud to mám přidávat jako přílohu stačí říct.
ComboFix 10-01-22.03 - hulk 23.01.2010 15:38:08.1.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1250.420.1033.18.3037.1981 [GMT 1:00]
Spuštěný z: c:\users\hulk\Desktop\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\temp
c:\users\hulk\AppData\Roaming\logs.dat
c:\windows\Fonts\MyriadPro-Regular.otf
c:\windows\Help\help
c:\windows\Help\help\en-US\Help.h1c
c:\windows\Help\help\en-US\Help.H1T
c:\windows\Help\help\en-US\Help_AssetId.H1K
c:\windows\Help\help\en-US\Help_BestBet.H1K
c:\windows\Help\help\en-US\Help_LinkTerm.H1K
c:\windows\Help\help\en-US\Help_SubjectTerm.H1K
c:\windows\Help\help\en-US\resources.H1S
c:\windows\Help\help\en-US\stopwrds.stp
c:\windows\system32\images
c:\windows\system32\images\toolbar\calendar.gif
c:\windows\system32\images\toolbar\crlogo.gif
c:\windows\system32\images\toolbar\export.gif
c:\windows\system32\images\toolbar\export_over.gif
c:\windows\system32\images\toolbar\exportd.gif
c:\windows\system32\images\toolbar\First.gif
c:\windows\system32\images\toolbar\first_over.gif
c:\windows\system32\images\toolbar\Firstd.gif
c:\windows\system32\images\toolbar\gotopage.gif
c:\windows\system32\images\toolbar\gotopage_over.gif
c:\windows\system32\images\toolbar\gotopaged.gif
c:\windows\system32\images\toolbar\grouptree.gif
c:\windows\system32\images\toolbar\grouptree_over.gif
c:\windows\system32\images\toolbar\grouptreed.gif
c:\windows\system32\images\toolbar\grouptreepressed.gif
c:\windows\system32\images\toolbar\Last.gif
c:\windows\system32\images\toolbar\last_over.gif
c:\windows\system32\images\toolbar\Lastd.gif
c:\windows\system32\images\toolbar\Next.gif
c:\windows\system32\images\toolbar\next_over.gif
c:\windows\system32\images\toolbar\Nextd.gif
c:\windows\system32\images\toolbar\Prev.gif
c:\windows\system32\images\toolbar\prev_over.gif
c:\windows\system32\images\toolbar\Prevd.gif
c:\windows\system32\images\toolbar\print.gif
c:\windows\system32\images\toolbar\print_over.gif
c:\windows\system32\images\toolbar\printd.gif
c:\windows\system32\images\toolbar\Refresh.gif
c:\windows\system32\images\toolbar\refresh_over.gif
c:\windows\system32\images\toolbar\refreshd.gif
c:\windows\system32\images\toolbar\Search.gif
c:\windows\system32\images\toolbar\search_over.gif
c:\windows\system32\images\toolbar\searchd.gif
c:\windows\system32\images\toolbar\up.gif
c:\windows\system32\images\toolbar\up_over.gif
c:\windows\system32\images\toolbar\upd.gif
c:\windows\system32\images\tree\begindots.gif
c:\windows\system32\images\tree\beginminus.gif
c:\windows\system32\images\tree\beginplus.gif
c:\windows\system32\images\tree\blank.gif
c:\windows\system32\images\tree\blankdots.gif
c:\windows\system32\images\tree\dots.gif
c:\windows\system32\images\tree\lastdots.gif
c:\windows\system32\images\tree\lastminus.gif
c:\windows\system32\images\tree\lastplus.gif
c:\windows\system32\images\tree\Magnify.gif
c:\windows\system32\images\tree\minus.gif
c:\windows\system32\images\tree\minusbox.gif
c:\windows\system32\images\tree\plus.gif
c:\windows\system32\images\tree\plusbox.gif
c:\windows\system32\images\tree\singleminus.gif
c:\windows\system32\images\tree\singleplus.gif
c:\windows\system32\twain_32.dll
.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-23 do 2010-01-23 )))))))))))))))))))))))))))))))
.
2010-01-23 14:35 . 2010-01-23 14:36 -------- d-----w- C:\32788R22FWJFW
2010-01-22 17:14 . 2010-01-22 17:14 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-22 15:10 . 2009-12-19 09:02 977920 ----a-w- c:\windows\system32\wininet.dll
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\VDLL.DLL
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\system32\runouce.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\rundll16.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\logo1_.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\logo_1.exe
2010-01-21 13:20 . 2010-01-21 13:20 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-01-21 13:20 . 2010-01-21 13:20 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-01-21 13:20 . 2010-01-21 13:20 34048 ----a-w- c:\windows\system32\eEmpty.exe
2010-01-21 13:20 . 2010-01-21 13:20 -------- d-----w- c:\program files\Common Files\MicroWorld
2010-01-21 13:20 . 2010-01-21 13:20 -------- d-----w- c:\programdata\MicroWorld
2010-01-19 21:31 . 2010-01-19 21:31 925696 ----a-w- c:\windows\system32\ZEnde.exe
2010-01-19 20:55 . 2010-01-19 20:36 738058 --sha-r- c:\windows\SysData.exe
2010-01-17 18:22 . 2010-01-17 18:22 -------- d-----w- C:\patch175
2010-01-13 10:04 . 2009-10-19 14:10 108544 ----a-w- c:\windows\system32\t2embed.dll
2010-01-13 10:04 . 2009-10-19 14:10 70656 ----a-w- c:\windows\system32\fontsub.dll
2010-01-07 22:33 . 2010-01-20 19:41 -------- d-----w- c:\program files\Common Files\Steam
2010-01-07 22:33 . 2010-01-22 16:42 -------- d-----w- c:\program files\Steam
2010-01-05 14:44 . 2007-03-23 11:05 29272 ----a-w- c:\windows\system32\AdobePDF.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 13:01 . 2009-09-22 06:58 -------- d-----w- c:\program files\Windows Mobile 5.0 SDK R2
2010-01-21 12:59 . 2009-11-09 21:44 -------- d-----w- c:\program files\Cheat Engine
2010-01-21 12:51 . 2009-10-12 07:06 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 12:25 . 2009-12-18 09:57 -------- d-----w- c:\program files\JDownloader
2010-01-18 22:25 . 2009-09-13 13:34 -------- d-----w- c:\programdata\VMware
2010-01-16 21:34 . 2009-09-14 13:24 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-01-16 21:33 . 2009-09-14 13:24 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-01-14 13:34 . 2009-09-13 14:15 -------- d-----w- c:\users\hulk\AppData\Roaming\VMware
2010-01-14 10:12 . 2009-10-03 13:25 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-13 10:25 . 2009-09-15 19:09 -------- d-----w- c:\programdata\Microsoft Help
2010-01-04 20:43 . 2009-09-14 13:24 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-01-02 15:13 . 2009-09-13 09:28 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-31 18:38 . 2009-09-14 13:24 22328 ----a-w- c:\users\hulk\AppData\Roaming\PnkBstrK.sys
2009-12-31 18:38 . 2009-09-14 13:24 22328 ----a-w- c:\users\hulk\AppData\Roaming\PnkBstrK.sys
2009-12-31 18:30 . 2009-11-18 21:23 -------- d-----w- c:\program files\Activision
2009-12-20 12:07 . 2009-12-20 12:07 -------- d-----w- c:\program files\Lionhead Studios
2009-12-18 09:57 . 2009-12-18 09:57 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-18 09:57 . 2009-12-18 09:57 -------- d-----w- c:\program files\Java
2009-12-14 17:11 . 2009-12-14 17:11 -------- d-----w- c:\users\hulk\AppData\Roaming\com.adobe.example.avatarAirApplication.199ED43C2CFEB351CD0244628B93195D7C58F98C.1
2009-12-14 17:11 . 2009-12-14 17:11 -------- d-----w- c:\program files\Common Files\Adobe AIR
2009-12-14 17:10 . 2009-12-14 17:11 38784 ----a-w- c:\users\hulk\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-14 17:10 . 2009-12-14 17:11 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-02 15:27 . 2009-11-05 11:59 -------- d-----w- c:\program files\Opera
2009-12-02 11:56 . 2009-09-24 07:25 -------- d-----w- c:\program files\Wolfram Research
2009-10-29 16:24 . 2009-09-13 09:35 116880 ----a-w- c:\users\hulk\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-29 07:22 . 2009-11-25 08:43 2048 ----a-w- c:\windows\system32\tzres.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"Steam"="c:\program files\steam\steam.exe" [2010-01-07 1217808]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-31 7731744]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat Speed Launcher.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
backup=c:\windows\pss\Adobe Acrobat Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-01-11 18:54 623992 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
2009-09-29 14:54 2356088 ----a-w- c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EZEHM]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-24 03:16 203928 ----a-w- c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray]
2008-09-18 21:11 84528 ----a-w- c:\program files\VMware\VMware Workstation\vmware-tray.exe
R1 ehdrv;ehdrv;c:\windows\System32\drivers\ehdrv.sys [14.5.2009 14:47 107256]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\System32\drivers\vwififlt.sys [14.7.2009 0:52 48128]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\System32\atiesrxx.exe [18.8.2009 1:36 176128]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [14.5.2009 14:47 731840]
R2 epfwwfpr;epfwwfpr;c:\windows\System32\drivers\epfwwfpr.sys [14.5.2009 14:49 93312]
R2 vmci;VMware vmci;c:\windows\System32\drivers\vmci.sys [18.9.2008 22:12 54960]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\System32\drivers\VSTAZL3.SYS [13.7.2009 23:13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\System32\drivers\VSTDPV3.SYS [13.7.2009 23:13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\System32\drivers\VSTCNXT3.SYS [13.7.2009 23:13 661504]
R3 winbondcir;Winbond IR Transceiver;c:\windows\System32\drivers\winbondcir.sys [28.3.2007 6:51 43008]
S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [22.1.2010 18:14 691696]
S4 Apache2.2;Apache2.2;c:\xampp\apache\bin\httpd.exe [24.11.2009 14:37 24640]
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést cíl vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést vybrané vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést vybrané vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Převést výběr do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést výběr do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Přidat do stávajícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\program files\VMware\VMware Workstation\vsocklib.dll
FF - ProfilePath - c:\users\hulk\AppData\Roaming\Mozilla\Firefox\Profiles\tfn7qjpa.default\
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
MSConfigStartUp-HKCU - c:\system_64\explorer.exe
MSConfigStartUp-HKLM - c:\system_64\explorer.exe
MSConfigStartUp-IntelliPoint - c:\program files\Microsoft IntelliPoint\ipoint.exe
MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\QTTask.exe
ActiveSetup-{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500} - c:\system_64\explorer.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\msftesql]
"ImagePath"="\"c:\program files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe\" -s:MSSQL.2 -f:MSSQLSERVER"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Celkový čas: 2010-01-23 15:47:43
ComboFix-quarantined-files.txt 2010-01-23 14:47
Před spuštěním: 36 154 187 776 bytes free
Po spuštění: 35 868 282 880 bytes free
- - End Of File - - BFC4DCB360A537902799BDB48F1EB376
P.S.: Pokud to mám přidávat jako přílohu stačí říct.
Per aspera ad astra! In æternum et ultra!
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!
“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
-
Unlimited_Killer
- Přítel fóra
- Příspěvky: 1969
- Registrován: 24 srp 2009 16:18
-
Unlimited_Killer
- Přítel fóra
- Příspěvky: 1969
- Registrován: 24 srp 2009 16:18
Re: Win32.Delf.NFB
Jdeme na to.
~~~
Otevřete si Poznámkový blok a zkopírujte do něj
uložte to na Plochu jako CFScript.txt Pak jej myší přetáhněte nad ComboFix (!musí být na Ploše!) a pusťte.
ComboFix vykoná příkazy ze skriptu, PC může být opět restartován.
Po skončení mi sem dejte log, který na Vás po dočistění vybafne.
~~~
Stáhněte MbAM a postupujte podle popisu. Zatím nic nemažte, MBAM má občas falešné detekce.
Potom mi sem vložte log.
~~~
Otevřete si Poznámkový blok a zkopírujte do něj
Kód: Vybrat vše
KillAll::
Registry::
[-HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat Speed Launcher.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
Folder::
C:\32788R22FWJFW
C:\patch175
Collect::
C:\windows\SysData.exe
c:\windows\system32\ZEnde.exeComboFix vykoná příkazy ze skriptu, PC může být opět restartován.
Po skončení mi sem dejte log, který na Vás po dočistění vybafne.
~~~
Stáhněte MbAM a postupujte podle popisu. Zatím nic nemažte, MBAM má občas falešné detekce.
Potom mi sem vložte log.
inactive
-
Hulkee
- Vzorný návštěvník
- Příspěvky: 442
- Registrován: 16 čer 2007 13:22
- Bydliště: Vrchlabsko
- Kontaktovat uživatele:
Re: Win32.Delf.NFB
Dík za script, patch 175 nejspíš obsahuje virus(primárně se jedná o patch do jedné hry,který je nejspíš počátkem infekce),to jo, ZEnde,exe je pravděpodobně onen virus,ale acrobat speed launcher se mi zrovna vypínat nechce, jedná se o legitimní adobe utilitku pro rychlejší start Adobe věcí a adobe updater se celkem hodí vzhledem k tomu, že mám originál adobe premium a chci mít věci aktualizovaný. 
Per aspera ad astra! In æternum et ultra!
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!
“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
-
Hulkee
- Vzorný návštěvník
- Příspěvky: 442
- Registrován: 16 čer 2007 13:22
- Bydliště: Vrchlabsko
- Kontaktovat uživatele:
Re: Win32.Delf.NFB
Dík za script, patch 175 nejspíš obsahuje virus(primárně se jedná o patch do jedné hry,který je nejspíš počátkem infekce),to jo, ZEnde,exe je pravděpodobně onen virus,ale acrobat speed launcher se mi zrovna vypínat nechce, jedná se o legitimní adobe utilitku pro rychlejší start Adobe věcí a adobe updater se celkem hodí vzhledem k tomu, že mám originál adobe premium a chci mít věci aktualizovaný.
Per aspera ad astra! In æternum et ultra!
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!
“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
-
Unlimited_Killer
- Přítel fóra
- Příspěvky: 1969
- Registrován: 24 srp 2009 16:18
Re: Win32.Delf.NFB
V tom případě skript takto:
Kód: Vybrat vše
KillAll::
Folder::
C:\32788R22FWJFW
C:\patch175
Collect::
C:\windows\SysData.exe
c:\windows\system32\ZEnde.exeinactive
-
Hulkee
- Vzorný návštěvník
- Příspěvky: 442
- Registrován: 16 čer 2007 13:22
- Bydliště: Vrchlabsko
- Kontaktovat uživatele:
Re: Win32.Delf.NFB
Srry za doublepost,blbne mi net.
Takže CF použit,jdu na MBAM.
//EDIT:
Přikládám výsledný log z CF:
ComboFix 10-01-22.05 - hulk 23.01.2010 17:36:44.2.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1250.420.1033.18.3037.2120 [GMT 1:00]
Spuštěný z: c:\users\hulk\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\hulk\Desktop\CFScript.TXT
* Rezidentní štít AV je zapnutý
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\patch175
c:\patch175\Update 1.0.174\1.0.174 patch\iw4mp.exe
c:\patch175\Update 1.0.174\1.0.174 patch\miles\milesEq.flt
c:\patch175\Update 1.0.174\1.0.174 patch\miles\mssds3d.flt
c:\patch175\Update 1.0.174\1.0.174 patch\miles\mssdsp.flt
c:\patch175\Update 1.0.174\1.0.174 patch\miles\msseax.flt
c:\patch175\Update 1.0.174\1.0.174 patch\miles\mssmp3.asi
c:\patch175\Update 1.0.174\1.0.174 patch\miles\mssvoice.asi
c:\patch175\Update 1.0.174\1.0.174 patch\zone\english\patch.ff
c:\patch175\Update 1.0.174\1.0.174 patch\zone\english\patch_code_pre_gfx.ff
c:\patch175\Update 1.0.174\1.0.174 patch\zone\english\patch_code_pre_gfx_mp.ff
c:\patch175\Update 1.0.174\1.0.174 patch\zone\english\patch_mp.ff
c:\patch175\Update 1.0.174\1.0.175 patch.rar
c:\patch175\Update 1.0.174\1.0.175 patch\iw4mp.exe
c:\patch175\Update 1.0.174\1.0.175 patch\miles\milesEq.flt
c:\patch175\Update 1.0.174\1.0.175 patch\miles\mssds3d.flt
c:\patch175\Update 1.0.174\1.0.175 patch\miles\mssdsp.flt
c:\patch175\Update 1.0.174\1.0.175 patch\miles\msseax.flt
c:\patch175\Update 1.0.174\1.0.175 patch\miles\mssmp3.asi
c:\patch175\Update 1.0.174\1.0.175 patch\miles\mssvoice.asi
c:\patch175\Update 1.0.174\1.0.175 patch\steam_api.dll
c:\patch175\Update 1.0.174\1.0.175 patch\zone\english\patch.ff
c:\patch175\Update 1.0.174\1.0.175 patch\zone\english\patch_code_pre_gfx.ff
c:\patch175\Update 1.0.174\1.0.175 patch\zone\english\patch_code_pre_gfx_mp.ff
c:\patch175\Update 1.0.174\1.0.175 patch\zone\english\patch_mp.ff
c:\patch175\Update 1.0.174\Patch Note.txt
c:\windows\SysData.exe
c:\windows\system32\ZEnde.exe
.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-23 do 2010-01-23 )))))))))))))))))))))))))))))))
.
2010-01-23 16:45 . 2010-01-23 16:46 -------- d-----w- c:\users\hulk\AppData\Local\temp
2010-01-23 16:45 . 2010-01-23 16:45 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-01-23 16:45 . 2010-01-23 16:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-22 17:14 . 2010-01-22 17:14 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-22 15:10 . 2009-12-19 09:02 977920 ----a-w- c:\windows\system32\wininet.dll
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\VDLL.DLL
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\system32\runouce.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\rundll16.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\logo1_.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\logo_1.exe
2010-01-21 13:20 . 2010-01-21 13:20 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-01-21 13:20 . 2010-01-21 13:20 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-01-21 13:20 . 2010-01-21 13:20 34048 ----a-w- c:\windows\system32\eEmpty.exe
2010-01-21 13:20 . 2010-01-21 13:20 -------- d-----w- c:\program files\Common Files\MicroWorld
2010-01-21 13:20 . 2010-01-21 13:20 -------- d-----w- c:\programdata\MicroWorld
2010-01-13 10:04 . 2009-10-19 14:10 108544 ----a-w- c:\windows\system32\t2embed.dll
2010-01-13 10:04 . 2009-10-19 14:10 70656 ----a-w- c:\windows\system32\fontsub.dll
2010-01-07 22:33 . 2010-01-20 19:41 -------- d-----w- c:\program files\Common Files\Steam
2010-01-07 22:33 . 2010-01-23 16:46 -------- d-----w- c:\program files\Steam
2010-01-05 14:44 . 2007-03-23 11:05 29272 ----a-w- c:\windows\system32\AdobePDF.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 13:01 . 2009-09-22 06:58 -------- d-----w- c:\program files\Windows Mobile 5.0 SDK R2
2010-01-21 12:59 . 2009-11-09 21:44 -------- d-----w- c:\program files\Cheat Engine
2010-01-21 12:51 . 2009-10-12 07:06 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 12:25 . 2009-12-18 09:57 -------- d-----w- c:\program files\JDownloader
2010-01-18 22:25 . 2009-09-13 13:34 -------- d-----w- c:\programdata\VMware
2010-01-16 21:34 . 2009-09-14 13:24 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-01-16 21:33 . 2009-09-14 13:24 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-01-14 13:34 . 2009-09-13 14:15 -------- d-----w- c:\users\hulk\AppData\Roaming\VMware
2010-01-14 10:12 . 2009-10-03 13:25 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-13 10:25 . 2009-09-15 19:09 -------- d-----w- c:\programdata\Microsoft Help
2010-01-04 20:43 . 2009-09-14 13:24 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-01-02 15:13 . 2009-09-13 09:28 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-31 18:38 . 2009-09-14 13:24 22328 ----a-w- c:\users\hulk\AppData\Roaming\PnkBstrK.sys
2009-12-31 18:38 . 2009-09-14 13:24 22328 ----a-w- c:\users\hulk\AppData\Roaming\PnkBstrK.sys
2009-12-31 18:30 . 2009-11-18 21:23 -------- d-----w- c:\program files\Activision
2009-12-20 12:07 . 2009-12-20 12:07 -------- d-----w- c:\program files\Lionhead Studios
2009-12-18 09:57 . 2009-12-18 09:57 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-18 09:57 . 2009-12-18 09:57 -------- d-----w- c:\program files\Java
2009-12-14 17:11 . 2009-12-14 17:11 -------- d-----w- c:\users\hulk\AppData\Roaming\com.adobe.example.avatarAirApplication.199ED43C2CFEB351CD0244628B93195D7C58F98C.1
2009-12-14 17:11 . 2009-12-14 17:11 -------- d-----w- c:\program files\Common Files\Adobe AIR
2009-12-14 17:10 . 2009-12-14 17:11 38784 ----a-w- c:\users\hulk\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-14 17:10 . 2009-12-14 17:11 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-02 15:27 . 2009-11-05 11:59 -------- d-----w- c:\program files\Opera
2009-12-02 11:56 . 2009-09-24 07:25 -------- d-----w- c:\program files\Wolfram Research
2009-10-29 16:24 . 2009-09-13 09:35 116880 ----a-w- c:\users\hulk\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-29 07:22 . 2009-11-25 08:43 2048 ----a-w- c:\windows\system32\tzres.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"Steam"="c:\program files\steam\steam.exe" [2010-01-07 1217808]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-31 7731744]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
backup=c:\windows\pss\Adobe Acrobat Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-01-11 18:54 623992 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EZEHM]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-24 03:16 203928 ----a-w- c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray]
2008-09-18 21:11 84528 ----a-w- c:\program files\VMware\VMware Workstation\vmware-tray.exe
R1 ehdrv;ehdrv;c:\windows\System32\drivers\ehdrv.sys [14.5.2009 14:47 107256]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\System32\drivers\vwififlt.sys [14.7.2009 0:52 48128]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\System32\atiesrxx.exe [18.8.2009 1:36 176128]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [14.5.2009 14:47 731840]
R2 epfwwfpr;epfwwfpr;c:\windows\System32\drivers\epfwwfpr.sys [14.5.2009 14:49 93312]
R2 vmci;VMware vmci;c:\windows\System32\drivers\vmci.sys [18.9.2008 22:12 54960]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\System32\drivers\VSTAZL3.SYS [13.7.2009 23:13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\System32\drivers\VSTDPV3.SYS [13.7.2009 23:13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\System32\drivers\VSTCNXT3.SYS [13.7.2009 23:13 661504]
R3 winbondcir;Winbond IR Transceiver;c:\windows\System32\drivers\winbondcir.sys [28.3.2007 6:51 43008]
S4 Apache2.2;Apache2.2;c:\xampp\apache\bin\httpd.exe [24.11.2009 14:37 24640]
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést cíl vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést vybrané vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést vybrané vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Převést výběr do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést výběr do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Přidat do stávajícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\program files\VMware\VMware Workstation\vsocklib.dll
FF - ProfilePath - c:\users\hulk\AppData\Roaming\Mozilla\Firefox\Profiles\tfn7qjpa.default\
.
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8554B1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xd46a624f
SecurityProcedure -> 0x85598398
QueryNameProcedure -> 0x85598528
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\msftesql]
"ImagePath"="\"c:\program files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe\" -s:MSSQL.2 -f:MSSQLSERVER"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\atieclxx.exe
c:\program files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\program files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Celkový čas: 2010-01-23 17:52:28 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-23 16:52
ComboFix2.txt 2010-01-23 14:47
Před spuštěním: 35 900 211 200 bytes free
Po spuštění: 36 084 731 904 bytes free
- - End Of File - - AD6F41194412A898D1287FCD46B2C6A7
Takže CF použit,jdu na MBAM.
//EDIT:
Přikládám výsledný log z CF:
ComboFix 10-01-22.05 - hulk 23.01.2010 17:36:44.2.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1250.420.1033.18.3037.2120 [GMT 1:00]
Spuštěný z: c:\users\hulk\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\hulk\Desktop\CFScript.TXT
* Rezidentní štít AV je zapnutý
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\patch175
c:\patch175\Update 1.0.174\1.0.174 patch\iw4mp.exe
c:\patch175\Update 1.0.174\1.0.174 patch\miles\milesEq.flt
c:\patch175\Update 1.0.174\1.0.174 patch\miles\mssds3d.flt
c:\patch175\Update 1.0.174\1.0.174 patch\miles\mssdsp.flt
c:\patch175\Update 1.0.174\1.0.174 patch\miles\msseax.flt
c:\patch175\Update 1.0.174\1.0.174 patch\miles\mssmp3.asi
c:\patch175\Update 1.0.174\1.0.174 patch\miles\mssvoice.asi
c:\patch175\Update 1.0.174\1.0.174 patch\zone\english\patch.ff
c:\patch175\Update 1.0.174\1.0.174 patch\zone\english\patch_code_pre_gfx.ff
c:\patch175\Update 1.0.174\1.0.174 patch\zone\english\patch_code_pre_gfx_mp.ff
c:\patch175\Update 1.0.174\1.0.174 patch\zone\english\patch_mp.ff
c:\patch175\Update 1.0.174\1.0.175 patch.rar
c:\patch175\Update 1.0.174\1.0.175 patch\iw4mp.exe
c:\patch175\Update 1.0.174\1.0.175 patch\miles\milesEq.flt
c:\patch175\Update 1.0.174\1.0.175 patch\miles\mssds3d.flt
c:\patch175\Update 1.0.174\1.0.175 patch\miles\mssdsp.flt
c:\patch175\Update 1.0.174\1.0.175 patch\miles\msseax.flt
c:\patch175\Update 1.0.174\1.0.175 patch\miles\mssmp3.asi
c:\patch175\Update 1.0.174\1.0.175 patch\miles\mssvoice.asi
c:\patch175\Update 1.0.174\1.0.175 patch\steam_api.dll
c:\patch175\Update 1.0.174\1.0.175 patch\zone\english\patch.ff
c:\patch175\Update 1.0.174\1.0.175 patch\zone\english\patch_code_pre_gfx.ff
c:\patch175\Update 1.0.174\1.0.175 patch\zone\english\patch_code_pre_gfx_mp.ff
c:\patch175\Update 1.0.174\1.0.175 patch\zone\english\patch_mp.ff
c:\patch175\Update 1.0.174\Patch Note.txt
c:\windows\SysData.exe
c:\windows\system32\ZEnde.exe
.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-23 do 2010-01-23 )))))))))))))))))))))))))))))))
.
2010-01-23 16:45 . 2010-01-23 16:46 -------- d-----w- c:\users\hulk\AppData\Local\temp
2010-01-23 16:45 . 2010-01-23 16:45 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-01-23 16:45 . 2010-01-23 16:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-22 17:14 . 2010-01-22 17:14 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-22 15:10 . 2009-12-19 09:02 977920 ----a-w- c:\windows\system32\wininet.dll
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\VDLL.DLL
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\system32\runouce.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\rundll16.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\logo1_.exe
2010-01-21 13:22 . 2010-01-21 13:22 -------- d---a-w- c:\windows\logo_1.exe
2010-01-21 13:20 . 2010-01-21 13:20 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-01-21 13:20 . 2010-01-21 13:20 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-01-21 13:20 . 2010-01-21 13:20 34048 ----a-w- c:\windows\system32\eEmpty.exe
2010-01-21 13:20 . 2010-01-21 13:20 -------- d-----w- c:\program files\Common Files\MicroWorld
2010-01-21 13:20 . 2010-01-21 13:20 -------- d-----w- c:\programdata\MicroWorld
2010-01-13 10:04 . 2009-10-19 14:10 108544 ----a-w- c:\windows\system32\t2embed.dll
2010-01-13 10:04 . 2009-10-19 14:10 70656 ----a-w- c:\windows\system32\fontsub.dll
2010-01-07 22:33 . 2010-01-20 19:41 -------- d-----w- c:\program files\Common Files\Steam
2010-01-07 22:33 . 2010-01-23 16:46 -------- d-----w- c:\program files\Steam
2010-01-05 14:44 . 2007-03-23 11:05 29272 ----a-w- c:\windows\system32\AdobePDF.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 13:01 . 2009-09-22 06:58 -------- d-----w- c:\program files\Windows Mobile 5.0 SDK R2
2010-01-21 12:59 . 2009-11-09 21:44 -------- d-----w- c:\program files\Cheat Engine
2010-01-21 12:51 . 2009-10-12 07:06 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 12:25 . 2009-12-18 09:57 -------- d-----w- c:\program files\JDownloader
2010-01-18 22:25 . 2009-09-13 13:34 -------- d-----w- c:\programdata\VMware
2010-01-16 21:34 . 2009-09-14 13:24 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-01-16 21:33 . 2009-09-14 13:24 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-01-14 13:34 . 2009-09-13 14:15 -------- d-----w- c:\users\hulk\AppData\Roaming\VMware
2010-01-14 10:12 . 2009-10-03 13:25 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-13 10:25 . 2009-09-15 19:09 -------- d-----w- c:\programdata\Microsoft Help
2010-01-04 20:43 . 2009-09-14 13:24 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-01-02 15:13 . 2009-09-13 09:28 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-31 18:38 . 2009-09-14 13:24 22328 ----a-w- c:\users\hulk\AppData\Roaming\PnkBstrK.sys
2009-12-31 18:38 . 2009-09-14 13:24 22328 ----a-w- c:\users\hulk\AppData\Roaming\PnkBstrK.sys
2009-12-31 18:30 . 2009-11-18 21:23 -------- d-----w- c:\program files\Activision
2009-12-20 12:07 . 2009-12-20 12:07 -------- d-----w- c:\program files\Lionhead Studios
2009-12-18 09:57 . 2009-12-18 09:57 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-18 09:57 . 2009-12-18 09:57 -------- d-----w- c:\program files\Java
2009-12-14 17:11 . 2009-12-14 17:11 -------- d-----w- c:\users\hulk\AppData\Roaming\com.adobe.example.avatarAirApplication.199ED43C2CFEB351CD0244628B93195D7C58F98C.1
2009-12-14 17:11 . 2009-12-14 17:11 -------- d-----w- c:\program files\Common Files\Adobe AIR
2009-12-14 17:10 . 2009-12-14 17:11 38784 ----a-w- c:\users\hulk\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-14 17:10 . 2009-12-14 17:11 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-02 15:27 . 2009-11-05 11:59 -------- d-----w- c:\program files\Opera
2009-12-02 11:56 . 2009-09-24 07:25 -------- d-----w- c:\program files\Wolfram Research
2009-10-29 16:24 . 2009-09-13 09:35 116880 ----a-w- c:\users\hulk\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-29 07:22 . 2009-11-25 08:43 2048 ----a-w- c:\windows\system32\tzres.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"Steam"="c:\program files\steam\steam.exe" [2010-01-07 1217808]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-31 7731744]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
backup=c:\windows\pss\Adobe Acrobat Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-01-11 18:54 623992 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EZEHM]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-24 03:16 203928 ----a-w- c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray]
2008-09-18 21:11 84528 ----a-w- c:\program files\VMware\VMware Workstation\vmware-tray.exe
R1 ehdrv;ehdrv;c:\windows\System32\drivers\ehdrv.sys [14.5.2009 14:47 107256]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\System32\drivers\vwififlt.sys [14.7.2009 0:52 48128]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\System32\atiesrxx.exe [18.8.2009 1:36 176128]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [14.5.2009 14:47 731840]
R2 epfwwfpr;epfwwfpr;c:\windows\System32\drivers\epfwwfpr.sys [14.5.2009 14:49 93312]
R2 vmci;VMware vmci;c:\windows\System32\drivers\vmci.sys [18.9.2008 22:12 54960]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\System32\drivers\VSTAZL3.SYS [13.7.2009 23:13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\System32\drivers\VSTDPV3.SYS [13.7.2009 23:13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\System32\drivers\VSTCNXT3.SYS [13.7.2009 23:13 661504]
R3 winbondcir;Winbond IR Transceiver;c:\windows\System32\drivers\winbondcir.sys [28.3.2007 6:51 43008]
S4 Apache2.2;Apache2.2;c:\xampp\apache\bin\httpd.exe [24.11.2009 14:37 24640]
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést cíl vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést vybrané vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést vybrané vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Převést výběr do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést výběr do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Přidat do stávajícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\program files\VMware\VMware Workstation\vsocklib.dll
FF - ProfilePath - c:\users\hulk\AppData\Roaming\Mozilla\Firefox\Profiles\tfn7qjpa.default\
.
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8554B1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xd46a624f
SecurityProcedure -> 0x85598398
QueryNameProcedure -> 0x85598528
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\msftesql]
"ImagePath"="\"c:\program files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe\" -s:MSSQL.2 -f:MSSQLSERVER"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\atieclxx.exe
c:\program files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\program files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Celkový čas: 2010-01-23 17:52:28 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-23 16:52
ComboFix2.txt 2010-01-23 14:47
Před spuštěním: 35 900 211 200 bytes free
Po spuštění: 36 084 731 904 bytes free
- - End Of File - - AD6F41194412A898D1287FCD46B2C6A7
Per aspera ad astra! In æternum et ultra!
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!
“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
-
Unlimited_Killer
- Přítel fóra
- Příspěvky: 1969
- Registrován: 24 srp 2009 16:18
Re: Win32.Delf.NFB
Zkusíme MbAM.
~~~
Stáhněte MbAM a postupujte podle popisu. Zatím nic nemažte, MbAM má občas falešné detekce.
Potom mi sem vložte log.
~~~
Stáhněte MbAM a postupujte podle popisu. Zatím nic nemažte, MbAM má občas falešné detekce.
Potom mi sem vložte log.
inactive
-
Hulkee
- Vzorný návštěvník
- Příspěvky: 442
- Registrován: 16 čer 2007 13:22
- Bydliště: Vrchlabsko
- Kontaktovat uživatele:
Re: Win32.Delf.NFB
MbAM doběhl a našel toto:
Malwarebytes' Anti-Malware 1.44
Verze databáze: 3620
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
23.1.2010 20:11:01
mbam-log-2010-01-23 (20-10-52).txt
Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 329458
Uplynulý čas: 1 hour(s), 5 minute(s), 32 second(s)
Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 0
Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)
Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)
Infikované klíče registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Backdoor.Bot) -> No action taken.
Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)
Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)
Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)
Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)
Malwarebytes' Anti-Malware 1.44
Verze databáze: 3620
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
23.1.2010 20:11:01
mbam-log-2010-01-23 (20-10-52).txt
Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 329458
Uplynulý čas: 1 hour(s), 5 minute(s), 32 second(s)
Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 0
Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)
Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)
Infikované klíče registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Backdoor.Bot) -> No action taken.
Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)
Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)
Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)
Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)
Per aspera ad astra! In æternum et ultra!
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!
“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
RSIT - - AVP Tool - - HijackThis - - OTM - - Avenger - - Gmer - - MBR - - SystemLook - - OTL
CCleaner - - Defraggler - - Filehippo Update Checker
POSLOUCHEJTE RÁDCE (ví co dělá) a VŠECHNO PEČLIVĚ ČTĚTE!!!“Všichni lidé jsou blázni. Ty, kterým se podaří své bludy vydat knižně, nazýváme filozofy.”
-
Unlimited_Killer
- Přítel fóra
- Příspěvky: 1969
- Registrován: 24 srp 2009 16:18
Přispějete na provoz fóra?