Internet Explorer

[motji]

Mě to napsalo, že odkaz neexistuje , nepamatujete si, jestlit o něco našlo?.
Já Vás trápím, já vím .
Jak to vypadá s počítačem?

[soy0078]

Mě to našlo,zkopíruji to sem,jinak to už běží,jen občas problikne když najíždím na lokální disky:a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 -
AntiVir 8.2.2.6 2010.06.10 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.10 -
Avast5 5.0.332.0 2010.06.10 -
AVG 9.0.0.787 2010.06.10 -
BitDefender 7.2 2010.06.11 -
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7628 2010.06.11 -
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 -
Fortinet 4.1.133.0 2010.06.10 -
GData 21 2010.06.11 -
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.10 -
Microsoft 1.5802 2010.06.11 -
NOD32 5188 2010.06.10 -
Norman 6.04.12 2010.06.10 -
nProtect 2010-06-11.01 2010.06.11 -
Panda 10.0.2.7 2010.06.10 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6433 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 -
VBA32 3.12.12.5 2010.06.10 -
ViRobot 2010.6.11.3880 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.10 -
Rozšiřující informace
File size: 163328 bytes
MD5 : 8453687a045c926f0291301ebaf50370
SHA1 : 8d756345c945b75ef63314fa8992f1b582067ff3
SHA256: 151afe783864d2fcbe6f954d1aef0cb1a157ae41848e2f0478217cddaad61967
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6BF60
timedatestamp.....: 0x445872AE (Wed May 3 11:06:54 2006)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x44000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x45000 0x28000 0x27200 7.92 8c71ecde07c563755798b56de82cfa8b
.rsrc 0x6D000 0x1000 0x800 3.27 ea079b662ca468ac3b84ac5ae3533871

( 0 imports )


( 0 exports )

TrID : File type identification
Win64 Executable Generic (52.5%)
UPX compressed Win32 Executable (18.7%)
Win32 EXE Yoda's Crypter (16.3%)
Win32 Executable Generic (5.2%)
Win32 Dynamic Link Library (generic) (4.6%)
ThreatExpert: http://www.threatexpert.com/report.aspx ... 1ebaf50370
ssdeep: 3072:91gwAEW0tqtON2BemdVhxcFtNSrL70RU5P7Rv8OYLI1ejvTeDT:9CwvW0tqtONy0t4/7B5+y62
sigcheck: publisher....: Gabest
copyright....: Copyright (C) 2005-2006 Gabest
product......: FLV Splitter
description..: FLV Splitter
original name: FLVSplitter.ax
internal name: FLV Splitter
file version.: 1, 0, 0, 1
comments.....: http://gabest.org/
signers......: -
signing date.: -
verified.....: Unsigned

PEiD : -
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
CWSandbox: http://research.sunbelt-software.com/pa ... 1ebaf50370
RDS : NSRL Reference Data Set
-

[motji]

Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

Reglock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci



Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT
-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.

[soy0078]

NO,snad se podařilo,páč mi vyskakkovala hláška,že script je zřejmě špatně hláskovaný
ComboFix 10-06-09.01 - soy0087 09.06.2010 21:29:13.5.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.3071.2141 [GMT 2:00]
Spuštěný z: c:\users\soy0087\Desktop\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
SP: ESET Smart Security 3.0 *disabled* (Updated) {E5E70D32-0101-4B98-A4D6-D1D15C3BB448}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\soy0087\AppData\Local\Microsoft\Windows\Temporary Internet Files\MAILTRAN.INI
c:\users\soy0087\AppData\Local\Microsoft\Windows\Temporary Internet Files\TRNCOM.INI
c:\users\soy0087\AppData\Roaming\Microsoft\Windows\Recent\El Bunker de Rovs.url
c:\users\soy0087\Documents\BackupRegistry(20100523).reg

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-05-09 do 2010-06-09 )))))))))))))))))))))))))))))))
.

2010-06-09 19:33 . 2010-06-09 19:34 -------- d-----w- c:\users\soy0087\AppData\Local\temp
2010-06-09 19:33 . 2010-06-09 19:33 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-06-09 19:33 . 2010-06-09 19:33 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-09 17:20 . 2010-06-09 17:21 -------- d-----w- C:\rsit
2010-06-05 10:28 . 2010-06-05 10:28 -------- d-----w- C:\perflogs
2010-05-26 07:23 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-12 08:09 . 2010-01-29 15:40 738816 ----a-w- c:\windows\system32\inetcomm.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-09 19:09 . 2007-01-08 21:09 648702 ----a-w- c:\windows\system32\perfh005.dat
2010-06-09 19:09 . 2007-01-08 21:09 138992 ----a-w- c:\windows\system32\perfc005.dat
2010-06-09 19:03 . 2009-11-29 17:19 35085 ----a-w- c:\programdata\nvModes.dat
2010-06-09 17:20 . 2009-12-17 15:50 -------- d-----w- c:\program files\trend micro
2010-06-09 13:03 . 2009-06-26 17:27 -------- d-----w- c:\users\soy0087\AppData\Roaming\Skype
2010-06-09 13:03 . 2008-10-31 15:29 -------- d-----w- c:\users\soy0087\AppData\Roaming\ICQ
2010-06-09 12:23 . 2008-10-31 17:04 -------- d-----w- c:\users\soy0087\AppData\Roaming\Vso
2010-06-05 09:37 . 2009-12-28 10:41 -------- d-----w- c:\users\soy0087\AppData\Roaming\Silver Style Entertainment
2010-06-05 09:37 . 2009-06-26 17:27 -------- d-----r- c:\program files\Skype
2010-06-05 08:17 . 2008-10-31 15:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-06-05 08:11 . 2009-11-22 09:01 -------- d-----w- c:\program files\Virtual Earth 3D
2010-06-04 17:42 . 2008-11-01 04:46 -------- d-----w- c:\program files\Google
2010-06-04 06:34 . 2009-03-15 08:37 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-21 11:36 . 2009-05-13 17:15 -------- d-----w- c:\programdata\CanonIJPLM
2010-05-18 15:06 . 2008-10-31 19:00 -------- d-----w- c:\users\soy0087\AppData\Roaming\skypePM
2010-05-12 09:21 . 2009-10-03 13:06 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-12 08:21 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-12 08:21 . 2008-10-31 18:59 -------- d-----w- c:\programdata\Microsoft Help
2010-05-07 16:26 . 2009-03-07 00:17 -------- d-----w- c:\program files\IncrediMail
2010-04-29 10:05 . 2008-10-31 15:24 -------- d-----w- c:\program files\Opera
2010-04-29 05:17 . 2010-04-29 05:17 -------- d-----w- c:\users\soy0087\AppData\Roaming\Playrix Entertainment
2010-04-13 21:34 . 2009-02-18 20:55 2032 ----a-w- c:\users\soy0087\AppData\Local\d3d9caps.dat
2008-11-02 17:09 . 2008-11-02 17:06 48 --sh--w- c:\windows\SF0A36253.tmp
2006-05-03 09:06 . 2008-11-02 15:34 163328 --sh--r- c:\windows\System32\flvDX.dll
2009-10-19 18:28 . 2009-03-25 13:46 2516 --sha-w- c:\windows\System32\KGyGaAvL.sys
2007-02-21 10:47 . 2010-01-01 15:58 31232 --sh--r- c:\windows\System32\msfDX.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2007-12-21 1443072]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-01 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLUA"= 2 (0x2)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter
"IncrediMail"=c:\program files\IncrediMail\bin\IncMail.exe /c
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
"OEXPRESS"=c:\windows\OETRN.EXE
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvSvc"=RUNDLL32.EXE c:\windows\system32\nvsvc.dll,nvsvcStart
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe"
"CanonMyPrinter"=c:\program files\Canon\MyPrinter\BJMyPrt.exe /logon
"Windows Defender"=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
"USB Storage Toolbox"=c:\windows\UMStor\Res.EXE
"PAC7302_Monitor"=c:\windows\PixArt\PAC7302\Monitor.exe
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):4c,08,eb,b5,02,fb,c9,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1489412846-3825235539-3369877922-1000]
"EnableNotificationsRef"=dword:00000001

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-30 135664]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2009-10-06 136704]
R3 SliceDisk5;SliceDisk5;c:\users\soy0087\AppData\Local\Temp\slicedisk.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-10-31 716272]
S2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2007-12-21 468224]
S3 3xHybrid;3xHybrid service;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-04-20 674048]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'

2010-06-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-30 18:00]

2010-06-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-30 18:00]

2010-06-09 c:\windows\Tasks\User_Feed_Synchronization-{A1F51D64-E209-4737-93E1-0CD077326749}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]

2010-05-28 c:\windows\Tasks\Úklid 1 kliknutím.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2007-12-21 12:49]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
mStart Page = hxxp://seznam.cz
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\windows\WebIE.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-09 21:34
Windows 6.0.6002 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...


c:\windows\TEMP\TMP0000005A185C94978F334F03 524288 bytes executable

sken byl úspešně dokončen
skryté soubory: 1

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Celkový čas: 2010-06-09 21:36:12
ComboFix-quarantined-files.txt 2010-06-09 19:36

Před spuštěním: 9 118 007 296
Po spuštění: 8 973 160 448

- - End Of File - - 465F3E53942F7F4575635A4B704C58BA

[motji]

Musíte skript na combofix pojmenovat jako CFskript.txt a uložit jako všechny soubory.

Zopakujte prosím skirpt s tímto příkazem:

Kód: Vybrat vše

Rootkit::
c:\windows\TEMP\TMP0000005A185C94978F334F03 

File::
c:\windows\TEMP\TMP0000005A185C94978F334F03 

Reglock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

[soy0078]

Asi jsem jitrnice,páč to dělám přesně,jak mi radíte,ale stejně mi vždy vyběhne okno,že se pokouším spustit špatně nahláskovaný skript

[motji]

Já Vám to tu podruhé napsala špatně, ale poprvé v návodu je to dobře.
Musíte to mít přesně takto
CFScript.txt

[soy0078]

No tak se snad konečně zadařilo:ComboFix 10-06-09.01 - soy0087 17.06.2010 20:12:03.6.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.3071.2054 [GMT 2:00]
Spuštěný z: c:\users\soy0087\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\soy0087\Desktop\CFScript.txt
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
SP: ESET Smart Security 3.0 *disabled* (Updated) {E5E70D32-0101-4B98-A4D6-D1D15C3BB448}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
- REŽIM S OMEZENOU FUNKČNOSTÍ -

FILE ::
"c:\windows\TEMP\TMP0000005A185C94978F334F03"
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-05-17 do 2010-06-17 )))))))))))))))))))))))))))))))
.

2010-06-17 18:13 . 2010-06-17 18:15 -------- d-----w- c:\users\soy0087\AppData\Local\temp
2010-06-17 18:13 . 2010-06-17 18:13 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-06-17 18:13 . 2010-06-17 18:13 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-10 07:17 . 2010-04-05 17:01 67072 ----a-w- c:\windows\system32\asycfilt.dll
2010-06-10 07:17 . 2010-05-01 14:13 2037248 ----a-w- c:\windows\system32\win32k.sys
2010-06-10 07:16 . 2010-05-26 14:47 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-06-10 07:16 . 2010-05-26 17:06 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-06-10 07:15 . 2010-05-04 05:59 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-10 07:14 . 2010-05-04 04:31 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-10 07:14 . 2010-05-04 05:55 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-10 07:14 . 2010-05-04 05:55 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-09 17:20 . 2010-06-09 17:21 -------- d-----w- C:\rsit
2010-06-05 10:28 . 2010-06-05 10:28 -------- d-----w- C:\perflogs
2010-05-26 07:23 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-17 18:15 . 2009-11-29 17:19 35085 ----a-w- c:\programdata\nvModes.dat
2010-06-17 16:40 . 2007-01-08 21:09 648702 ----a-w- c:\windows\system32\perfh005.dat
2010-06-17 16:40 . 2007-01-08 21:09 138992 ----a-w- c:\windows\system32\perfc005.dat
2010-06-14 07:49 . 2008-10-31 17:04 -------- d-----w- c:\users\soy0087\AppData\Roaming\Vso
2010-06-11 14:48 . 2009-06-26 17:27 -------- d-----w- c:\users\soy0087\AppData\Roaming\Skype
2010-06-11 13:41 . 2008-10-31 15:29 -------- d-----w- c:\users\soy0087\AppData\Roaming\ICQ
2010-06-10 08:02 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-06-10 07:56 . 2008-10-31 18:59 -------- d-----w- c:\programdata\Microsoft Help
2010-06-10 06:47 . 2009-05-13 17:15 -------- d-----w- c:\programdata\CanonIJPLM
2010-06-09 17:20 . 2009-12-17 15:50 -------- d-----w- c:\program files\trend micro
2010-06-05 09:37 . 2009-12-28 10:41 -------- d-----w- c:\users\soy0087\AppData\Roaming\Silver Style Entertainment
2010-06-05 09:37 . 2009-06-26 17:27 -------- d-----r- c:\program files\Skype
2010-06-05 08:17 . 2008-10-31 15:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-06-05 08:11 . 2009-11-22 09:01 -------- d-----w- c:\program files\Virtual Earth 3D
2010-06-04 17:42 . 2008-11-01 04:46 -------- d-----w- c:\program files\Google
2010-06-04 06:34 . 2009-03-15 08:37 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-18 15:06 . 2008-10-31 19:00 -------- d-----w- c:\users\soy0087\AppData\Roaming\skypePM
2010-05-12 09:21 . 2009-10-03 13:06 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-07 16:26 . 2009-03-07 00:17 -------- d-----w- c:\program files\IncrediMail
2010-04-29 10:05 . 2008-10-31 15:24 -------- d-----w- c:\program files\Opera
2010-04-29 05:17 . 2010-04-29 05:17 -------- d-----w- c:\users\soy0087\AppData\Roaming\Playrix Entertainment
2010-04-13 21:34 . 2009-02-18 20:55 2032 ----a-w- c:\users\soy0087\AppData\Local\d3d9caps.dat
2008-11-02 17:09 . 2008-11-02 17:06 48 --sh--w- c:\windows\SF0A36253.tmp
2006-05-03 09:06 . 2008-11-02 15:34 163328 --sh--r- c:\windows\System32\flvDX.dll
2009-10-19 18:28 . 2009-03-25 13:46 2516 --sha-w- c:\windows\System32\KGyGaAvL.sys
2007-02-21 10:47 . 2010-01-01 15:58 31232 --sh--r- c:\windows\System32\msfDX.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2007-12-21 1443072]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-01 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLUA"= 2 (0x2)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter
"IncrediMail"=c:\program files\IncrediMail\bin\IncMail.exe /c
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
"OEXPRESS"=c:\windows\OETRN.EXE
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvSvc"=RUNDLL32.EXE c:\windows\system32\nvsvc.dll,nvsvcStart
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe"
"CanonMyPrinter"=c:\program files\Canon\MyPrinter\BJMyPrt.exe /logon
"Windows Defender"=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
"USB Storage Toolbox"=c:\windows\UMStor\Res.EXE
"PAC7302_Monitor"=c:\windows\PixArt\PAC7302\Monitor.exe
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):4c,08,eb,b5,02,fb,c9,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1489412846-3825235539-3369877922-1000]
"EnableNotificationsRef"=dword:00000001

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-30 135664]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2009-10-06 136704]
R3 SliceDisk5;SliceDisk5;c:\users\soy0087\AppData\Local\Temp\slicedisk.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-10-31 716272]
S2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2007-12-21 468224]
S3 3xHybrid;3xHybrid service;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-04-20 674048]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'

2010-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-30 18:00]

2010-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-30 18:00]

2010-06-17 c:\windows\Tasks\User_Feed_Synchronization-{A1F51D64-E209-4737-93E1-0CD077326749}.job
- c:\windows\system32\msfeedssync.exe [2010-06-10 04:30]

2010-05-28 c:\windows\Tasks\Úklid 1 kliknutím.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2007-12-21 12:49]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
mStart Page = hxxp://seznam.cz
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\windows\WebIE.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-17 20:15
Windows 6.0.6002 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\iashost.exe
c:\windows\system32\conime.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\ehome\ehsched.exe
c:\windows\ehome\ehRecvr.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Celkový čas: 2010-06-17 20:22:36 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-06-17 18:22
ComboFix2.txt 2010-06-09 19:36

Před spuštěním: 9 547 833 344
Po spuštění: 9 449 897 984

- - End Of File - - 6A0626736DEBCE627B33611A14227B02

[motji]

Jak to vypadá s počítačem?


Otestujte na www.virustotal.com
c:\windows\SF0A36253.tmp

[soy0078]

Když to chci odeslat k analýze,tak mi vyběhne okno,že je to něčím používáno a nelze odeslat,nevím,co to používá,abyc to vypnul,jinak CA WMN antispyware mi našel zase nějaký bordel a trojana FUNSY B,nemám tucha,kde jsem to sebral,šlo to do karantény,ale exporer miá stále hapruje a píše,že neodpovídá

[motji]

V jakých souborech nachází vir?

[soy0078]

No,byl ve windows-system32-sysinfo.dll

[motji]

Sken mbamem už jste dělal?

[soy0078]

mohu zkusit

[soy0078]

Tak MBAM už nic také nenašel.Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4052

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

18.6.2010 17:33:01
mbam-log-2010-06-18 (17-33-01).txt

Typ skenu: Úplný sken (C:\|D:\|)
Skenované objekty: 261825
Uplynulý čas: 41 minuta(y), 3 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0