VIRY.CZ

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-12-13 09:58:50
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Hitachi_ rev.FC4O
Running: gmer.exe; Driver: C:\Users\OTAKAR~1\AppData\Local\Temp\ufryapoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82E49599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82E6DF52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
? C:\windows\System32\Drivers\SafeBoot.sys Proces nemôže získať prístup k súboru, pretože daný súbor práve používa iný proces.
.text C:\windows\system32\DRIVERS\atikmdag.sys section is writeable [0x92A1C000, 0x331A84, 0xE8000020]
? C:\Users\OTAKAR~1\AppData\Local\Temp\mbr.sys Systém nemôže nájsť zadaný súbor. !

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\plugin-container.exe[620] USER32.dll!TrackPopupMenu 75784B3B 5 Bytes JMP 608A2342 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[5376] ntdll.dll!LdrLoadDll 7735F625 5 Bytes JMP 009E13F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Users\OTAKAR~1\AppData\Local\Temp\Rar$EX01.328\gmer.exe[5300] @ C:\windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [753A5E25] C:\windows\system32\apphelp.dll (Application Compatibility Client Library/Microsoft Corporation)
IAT C:\Users\OTAKAR~1\AppData\Local\Temp\Rar$EX01.328\gmer.exe[5300] @ C:\windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [753A5E25] C:\windows\system32\apphelp.dll (Application Compatibility Client Library/Microsoft Corporation)
IAT C:\Users\OTAKAR~1\AppData\Local\Temp\Rar$EX01.328\gmer.exe[5300] @ C:\windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [753A5E25] C:\windows\system32\apphelp.dll (Application Compatibility Client Library/Microsoft Corporation)
IAT C:\Users\OTAKAR~1\AppData\Local\Temp\Rar$EX01.328\gmer.exe[5300] @ C:\windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [753A5E25] C:\windows\system32\apphelp.dll (Application Compatibility Client Library/Microsoft Corporation)
IAT C:\Users\OTAKAR~1\AppData\Local\Temp\Rar$EX01.328\gmer.exe[5300] @ C:\windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [753A5E25] C:\windows\system32\apphelp.dll (Application Compatibility Client Library/Microsoft Corporation)
IAT C:\Users\OTAKAR~1\AppData\Local\Temp\Rar$EX01.328\gmer.exe[5300] @ C:\windows\System32\Secur32.dll [KERNEL32.dll!GetProcAddress] [753A5E25] C:\windows\system32\apphelp.dll (Application Compatibility Client Library/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device \Driver\ACPI_HAL \Device\00000077 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Udp mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\KONICA MINOLTA PagePro 1300W@ChangeID 1233702

---- EOF - GMER 1.0.15 ----

Program mbr mi po rozbalení jen problikla nějaká tabulka,která ihned zmizla a vytvořilo se akorát toto:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: Hitachi_ rev.FC4O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK



Nic víc se už neukázalo,nevím zda jsem někde neudělal chybu,ale postupoval jsem podle instrukcí.Jen se mi nezobrazilo žádné okénko,do kterého bych mohl zkopírovat kod.

Nevadí, vypadá to v pořádku.

Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka
-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

Po zkopírování textu z okénka jem vložil text do poznámkového bloku a postupoval podle Vaších instrukcí.Po přetažení skriptu a pustění jsem musel kliknout na spuštění ComboFix-u.Po té na mně postupně začaly vybafovat různá okénka,kde jsem klikal na "ano" (bylo psáno v angličtině,kterou ztěží ovládám ).Potom už začal ComboFix scanovat a vytvořil log.Doufám,že jsem vše dělal správně.Vždy ve mně tlí nějaká nejistota .

ComboFix 10-12-13.02 - Otakar Vavrečka 14.12.2010 6:53.6.2 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1250.421.1051.18.3066.2053 [GMT 1:00]
Running from: c:\users\Otakar Vavrečka\Desktop\ComboFix.exe
Command switches used :: c:\users\Otakar Vavrečka\Desktop\CFScript.txt
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\datastore\cache.sqlite
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\defaults.js.bak
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\defaults\preferences\defaults.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome.manifest
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\about.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\about.xul
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\cache.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\constants.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\core.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\custom-command-listener.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\events.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\feeds.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\json.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\lifecycle.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\listeners.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\locale.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\logger.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\network.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\observer.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\options.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\options.xul
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\preferences.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\prefetch.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\ss-popup-bindings.xml
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\suggestions.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\update.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\utilities.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\webframe-bindings.xml
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\webframe-manager.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\widget-controller.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\widget-popup.xul
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\content\widgets.js
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\abc.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\amazon_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\as.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\ask_16x16.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\ask_32x32.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\ask_browser_ff_chrome.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\asklogo.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\bbc_news.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\beppe_grillo.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\bg.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\bild.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\blogs.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\business.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\celebrity.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\close.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\cnn_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\corriere_della_sera.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\dictionary.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\el_mundo.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\email_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\expansion.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\facebook_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\folha.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\ft.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\ftd.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\g1.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\games_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\gazzetta_dello_sport.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\globe_18x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\gripper.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\highlight_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\highlighter_off.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\highlighter_on.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\hola.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\chevron.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icon_film1_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icon_history_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icon_news_ru_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icon_nu_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icon_radiodigital_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icon_sports_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icon_sportsru_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icon_vk_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\icons_business_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\images.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\kicker.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\labels-de.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\labels-en.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\labels-es.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\labels-fr.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\labels-it.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\labels-nl.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\labels-pt.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\labels-ru.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\laposte.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\lemonde.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\lequipe.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\libero_it.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-BR.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-DE.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-ES.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-EU.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-FR.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-IT.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-NL.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-RU.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-UK.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\links-US.properties
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\logo_32x32.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\magnify_search.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\magnify_search_grey_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\maps.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\mtv.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\news.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\oglobo.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\orkut.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\personas.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\preferences.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask_de.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask_es.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask_fr.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask_it.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask_nl.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask_pl.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask_pt.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ask_ru.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_cobrand.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_current_site.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_de.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_es.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_fr.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_grey_73x24.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_it.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_nl.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_pl.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_pt.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\search_ru.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\shopping.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\sports.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\stocks.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\terra.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\titlebar_bg.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\toolbar.css
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\toolbar.xul
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\tv.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\tv_movie_de.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\uol.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\voici_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\weather.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\weather_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\web.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\web_de.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\wordoftheday_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\youtube_16x.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\skin\zoomall.png
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\temp\askToolbar.exe
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Fri-22-Oct-2010-10-47-17-GMT\ff-config.zip
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-30-Sep-2010-12-12-25-GMT\ff-config.zip
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Tue-07-Dec-2010-19-26-42-GMT\ff-config.zip
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Tue-28-Sep-2010-18-57-36-GMT\ff-config.zip
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\install.rdf
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292252654658.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292252657668.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292252802396.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292252805328.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292267107915.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292267114695.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292267332703.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292267452603.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292267453655.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292267453768.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292270900586.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292271704180.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\logs\asktb-log-1292305192561.html
c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\extensions\toolbar@ask.com\searchplugins\askcom.xml

.
((((((((((((((((((((((((( Files Created from 2010-11-14 to 2010-12-14 )))))))))))))))))))))))))))))))
.

2010-12-14 05:59 . 2010-12-14 05:59 -------- d-----w- c:\users\Otakar Vavrečka\AppData\Local\temp
2010-12-14 05:59 . 2010-12-14 05:59 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-12-14 05:59 . 2010-12-14 05:59 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-13 20:17 . 2010-12-13 20:17 -------- d-----w- c:\users\Otakar Vavrečka\AppData\Roaming\vlc
2010-12-13 20:16 . 2010-12-13 20:16 -------- d-----w- c:\program files\VideoLAN
2010-12-13 08:17 . 2010-12-13 08:17 420920 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-12-12 07:41 . 2010-12-12 07:41 -------- d-----w- c:\users\Otakar Vavrečka\AppData\Roaming\Malwarebytes
2010-12-12 07:41 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-12 07:41 . 2010-12-12 07:41 -------- d-----w- c:\programdata\Malwarebytes
2010-12-12 07:41 . 2010-12-12 07:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-12-12 07:41 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-11 17:08 . 2010-12-11 18:17 -------- d-sh--w- c:\programdata\IAHBV
2010-12-11 17:07 . 2010-12-11 18:17 -------- d-sh--w- c:\programdata\384e50
2010-12-10 08:09 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{368EEB72-967E-4AF6-A2AC-DE802CC89811}\mpengine.dll
2010-11-28 05:35 . 2010-11-28 05:50 53248 ----a-w- c:\windows\system32\drivers\rk_remover.sys
2010-11-24 06:09 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-09 06:49 . 2010-04-12 08:49 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-23 17:34 . 2010-04-12 08:49 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-10-19 09:41 . 2010-04-12 09:01 222080 ------w- c:\windows\system32\MpSigStub.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\tbMyA0.dll" [2010-09-28 2735200]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
2010-09-28 08:36 2735200 ----a-w- c:\program files\MyAshampoo\tbMyA0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\tbMyA0.dll" [2010-09-28 2735200]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}"= "c:\program files\MyAshampoo\tbMyA0.dll" [2010-09-28 2735200]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPADVISOR"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2009-07-16 1668664]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2009-06-17 2363392]
"eyeBeam SIP Client"="c:\program files\CounterPath\X-Lite\x-lite.exe" [2010-01-04 23941120]
"Google Update"="c:\users\Otakar Vavrečka\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-08-24 135664]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-08-24 39408]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-10-19 328056]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-07-27 288312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-08-25 186904]
"PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2009-06-18 563736]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-07-23 498744]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768]
"KONICA MINOLTA PagePro 1300WStatusDisplay"="c:\windows\system32\MSTMON_N.EXE" [2004-11-25 151552]
"acevents"="c:\program files\ActivIdentity\ActivClient\acevents.exe" [2009-06-03 153640]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2009-06-03 400936]
"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2009-07-30 354360]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2009-07-23 24848]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-03 98304]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2009-05-18 1314816]

c:\users\Otakar Vavreźka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-5-14 384512]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-30 795936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 2 (0x2)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\HEWLET~1\IAM\Bin\APSHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 135664]
R2 MLPTDR_N;MLPTDR_N;c:\windows\system32\MLPTDR_N.SYS [2003-07-19 18848]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 29472]
R3 HP ProtectTools Service;HP ProtectTools Service;c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [2009-07-30 45056]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 rk_remover-boot;rk_remover-boot;c:\windows\system32\drivers\rk_remover.sys [2010-11-28 53248]
R3 RoxMediaDB10;RoxMediaDB10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [2009-06-13 1120752]
R3 WatAdminSvc;Služba Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-22 1343400]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-12-13 420920]
S0 SafeBoot;SafeBoot; [x]
S0 SbAlg;SbAlg; [x]
S0 SbFsLock;SbFsLock; [x]
S1 RsvLock;RsvLock; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 207400]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-08-04 176128]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-06 135336]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 ASChannel;Local Communication Channel;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 ASO3DiskOptimizer;ASO3DiskOptimizer;c:\program files\Advanced System Optimizer 3\ASO3DefragSrv.exe [2010-09-27 239928]
S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\AtService.exe [2009-07-29 1201400]
S2 cpuz133;cpuz133;c:\windows\system32\drivers\cpuz133_x32.sys [2010-05-11 20072]
S2 HpFkCryptService;Drive Encryption Service;c:\program files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [2009-07-29 256544]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2010-06-15 26168]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-06-02 246520]
S2 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [2010-05-04 503080]
S2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [2009-06-18 635416]
S2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe [2009-07-14 20992]
S3 5U876UVC;HP Webcam [2 MP series];c:\windows\system32\DRIVERS\5U876.sys [2009-06-30 12:01 118656]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-08-04 6096384]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-08-04 214016]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
yksvcs REG_MULTI_SZ yksvc
GPSvcGroup REG_MULTI_SZ GPSvc
Cognizance REG_MULTI_SZ ASBroker
Bioscrypt REG_MULTI_SZ ASChannel

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-06-17 19:11 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contents of the 'Scheduled Tasks' folder

2010-12-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 18:50]

2010-12-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 18:50]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:25397
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
IE: Send image to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send page to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
FF - ProfilePath - c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.sk/
FF - prefs.js: network.proxy.type - 2
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: MyAshampoo Toolbar: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - %profile%\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
.

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: Hitachi_ rev.FC4O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: >>UNKNOWN [0x82E38000]<< >>UNKNOWN [0x8BC07000]<< >>UNKNOWN [0x8CA83000]<< >>UNKNOWN [0x8CA48000]<< >>UNKNOWN [0x82E01000]<< >>UNKNOWN [0x8BD16000]<<
_asm { DEC EBP; POP EDX; NOP ; ADD [EBX], AL; ADD [EAX], AL; ADD [EAX+EAX], AL; ADD [EAX], AL; }
1 ntkrnlpa!IofCallDriver[0x82E74458] -> \Device\Harddisk0\DR0[0x8757D6B0]
\Driver\Disk[0x8757EC38] -> IRP_MJ_CREATE -> 0x8BC0B39F
3 [0x8BC0B59E] -> ntkrnlpa!IofCallDriver[0x82E74458] -> [0x8757D030]
\Driver\hpdskflt[0x8752F450] -> IRP_MJ_CREATE -> 0x8CA49FB0
5 [0x8CA4A090] -> ntkrnlpa!IofCallDriver[0x82E74458] -> \Device\Ide\IAAStorageDevice-1[0x86AC0038]
\Driver\iaStor[0x86B09498] -> IRP_MJ_CREATE -> 0x8BD5A954
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Completion time: 2010-12-14 07:01:01
ComboFix-quarantined-files.txt 2010-12-14 06:01
ComboFix2.txt 2010-12-12 10:37
ComboFix3.txt 2010-11-26 23:00
ComboFix4.txt 2010-11-14 12:00
ComboFix5.txt 2010-12-14 05:52

Pre-Run: 131 975 241 728 bytes free
Post-Run: 131 926 691 840 bytes free

- - End Of File - - D673741EB12C79138C4C17120D3020F9

Udělal jste to v pořádku .
Ale pořád se mi něco nelíbí


Návod od kolegy Stella

Stiahnite si prosím TDSSKiller http://support.kaspersky.com/downloads/ ... killer.exe a uložte ho na plochu.

2x-klik na TDSSKiller.exe- spustiť aplikáciu, potom na Spustiť kontrolu-klik- Start Scan.
Ak je infikovaný súbor detekovaný, bude predvolená akcia Cure, kliknite na tlačidlo Continue.
Ak podozrivý[suspicious] súbor je detekovaný, bude predvolená akcia Skip, kliknite na Continue.
Môže vás požiadať, aby ste reštartovali počítač na dokončenie procesu. Kliknite na Reboot Now.
Ak nevyžaduje reštart, kliknite na tlačidlo Report. Log súbor by sa mal objaviť. Prosím, skopírujte a vložte obsah súboru tu.
Ak je vyžadované reštartovanie počítača, správa je k dispozícii vo vašom koreňovom adresari

Zde je scan:

2010/12/14 20:58:21.0164 TDSS rootkit removing tool 2.4.11.0 Dec 8 2010 14:46:40
2010/12/14 20:58:21.0164 ================================================================================
2010/12/14 20:58:21.0164 SystemInfo:
2010/12/14 20:58:21.0164
2010/12/14 20:58:21.0164 OS Version: 6.1.7600 ServicePack: 0.0
2010/12/14 20:58:21.0164 Product type: Workstation
2010/12/14 20:58:21.0164 ComputerName: OTAKAR-PC
2010/12/14 20:58:21.0165 UserName: Otakar Vavrečka
2010/12/14 20:58:21.0165 Windows directory: C:\windows
2010/12/14 20:58:21.0165 System windows directory: C:\windows
2010/12/14 20:58:21.0165 Processor architecture: Intel x86
2010/12/14 20:58:21.0165 Number of processors: 2
2010/12/14 20:58:21.0165 Page size: 0x1000
2010/12/14 20:58:21.0165 Boot type: Normal boot
2010/12/14 20:58:21.0165 ================================================================================
2010/12/14 20:58:21.0475 Initialize success
2010/12/14 20:58:34.0195 ================================================================================
2010/12/14 20:58:34.0195 Scan started
2010/12/14 20:58:34.0195 Mode: Manual;
2010/12/14 20:58:34.0195 ================================================================================
2010/12/14 20:58:39.0537 ================================================================================
2010/12/14 20:58:39.0537 Scan finished
2010/12/14 20:58:39.0537 ================================================================================

Co máte za počítač?

Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka
-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

Mám notebook "HP ProBook 4710s".Je starý asi tak 3/4 roku.
Děkuji Vám za dosavadní snahu mi pomoci s tímto problémem,jste opravdu velmi milá a pečlivá.Ještě jednou velké díky.
Zde je log:

ComboFix 10-12-14.04 - Otakar Vavrečka 15.12.2010 8:41.7.2 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1250.421.1051.18.3066.2041 [GMT 1:00]
Running from: c:\users\Otakar Vavrečka\Desktop\ComboFix.exe
Command switches used :: c:\users\Otakar Vavrečka\Desktop\CFScript.txt
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

FILE ::
"c:\windows\system32\drivers\rk_remover.sys"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\rk_remover.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RK_REMOVER-BOOT
-------\Service_rk_remover-boot


((((((((((((((((((((((((( Files Created from 2010-11-15 to 2010-12-15 )))))))))))))))))))))))))))))))
.

2010-12-15 07:46 . 2010-12-15 07:48 -------- d-----w- c:\users\Otakar Vavrečka\AppData\Local\temp
2010-12-15 07:46 . 2010-12-15 07:46 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-12-15 07:46 . 2010-12-15 07:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-14 09:56 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{2294B34A-7899-4747-8D7B-0AF77D999E71}\mpengine.dll
2010-12-13 20:17 . 2010-12-13 20:17 -------- d-----w- c:\users\Otakar Vavrečka\AppData\Roaming\vlc
2010-12-13 20:16 . 2010-12-13 20:16 -------- d-----w- c:\program files\VideoLAN
2010-12-13 08:17 . 2010-12-13 08:17 420920 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-12-12 07:41 . 2010-12-12 07:41 -------- d-----w- c:\users\Otakar Vavrečka\AppData\Roaming\Malwarebytes
2010-12-12 07:41 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-12 07:41 . 2010-12-12 07:41 -------- d-----w- c:\programdata\Malwarebytes
2010-12-12 07:41 . 2010-12-12 07:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-12-12 07:41 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-11 17:08 . 2010-12-11 18:17 -------- d-sh--w- c:\programdata\IAHBV
2010-12-11 17:07 . 2010-12-11 18:17 -------- d-sh--w- c:\programdata\384e50
2010-11-24 06:09 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-09 06:49 . 2010-04-12 08:49 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-23 17:34 . 2010-04-12 08:49 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-10-19 09:41 . 2010-04-12 09:01 222080 ------w- c:\windows\system32\MpSigStub.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\tbMyA0.dll" [2010-09-28 2735200]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
2010-09-28 08:36 2735200 ----a-w- c:\program files\MyAshampoo\tbMyA0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\tbMyA0.dll" [2010-09-28 2735200]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}"= "c:\program files\MyAshampoo\tbMyA0.dll" [2010-09-28 2735200]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPADVISOR"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2009-07-16 1668664]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2009-06-17 2363392]
"eyeBeam SIP Client"="c:\program files\CounterPath\X-Lite\x-lite.exe" [2010-01-04 23941120]
"Google Update"="c:\users\Otakar Vavrečka\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-08-24 135664]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-08-24 39408]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-10-19 328056]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-07-27 288312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-08-25 186904]
"PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2009-06-18 563736]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-07-23 498744]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768]
"KONICA MINOLTA PagePro 1300WStatusDisplay"="c:\windows\system32\MSTMON_N.EXE" [2004-11-25 151552]
"acevents"="c:\program files\ActivIdentity\ActivClient\acevents.exe" [2009-06-03 153640]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2009-06-03 400936]
"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2009-07-30 354360]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2009-07-23 24848]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-03 98304]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2009-05-18 1314816]

c:\users\Otakar Vavreźka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-5-14 384512]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-30 795936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 2 (0x2)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\HEWLET~1\IAM\Bin\APSHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 135664]
R2 MLPTDR_N;MLPTDR_N;c:\windows\system32\MLPTDR_N.SYS [2003-07-19 18848]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 29472]
R3 HP ProtectTools Service;HP ProtectTools Service;c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [2009-07-30 45056]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 RoxMediaDB10;RoxMediaDB10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [2009-06-13 1120752]
R3 WatAdminSvc;Služba Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-22 1343400]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-12-13 420920]
S0 SafeBoot;SafeBoot; [x]
S0 SbAlg;SbAlg; [x]
S0 SbFsLock;SbFsLock; [x]
S1 RsvLock;RsvLock; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 207400]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-08-04 176128]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-06 135336]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 ASChannel;Local Communication Channel;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 ASO3DiskOptimizer;ASO3DiskOptimizer;c:\program files\Advanced System Optimizer 3\ASO3DefragSrv.exe [2010-09-27 239928]
S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\AtService.exe [2009-07-29 1201400]
S2 cpuz133;cpuz133;c:\windows\system32\drivers\cpuz133_x32.sys [2010-05-11 20072]
S2 HpFkCryptService;Drive Encryption Service;c:\program files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [2009-07-29 256544]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2010-06-15 26168]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-06-02 246520]
S2 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [2010-05-04 503080]
S2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [2009-06-18 635416]
S2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe [2009-07-14 20992]
S3 5U876UVC;HP Webcam [2 MP series];c:\windows\system32\DRIVERS\5U876.sys [2009-06-30 12:01 118656]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-08-04 6096384]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-08-04 214016]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
yksvcs REG_MULTI_SZ yksvc
GPSvcGroup REG_MULTI_SZ GPSvc
Cognizance REG_MULTI_SZ ASBroker
Bioscrypt REG_MULTI_SZ ASChannel

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-06-17 19:11 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contents of the 'Scheduled Tasks' folder

2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 18:50]

2010-12-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 18:50]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:25397
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
IE: Send image to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send page to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
FF - ProfilePath - c:\users\Otakar Vavrečka\AppData\Roaming\Mozilla\Firefox\Profiles\dnr21fna.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.sk/
FF - prefs.js: network.proxy.type - 2
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: MyAshampoo Toolbar: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - %profile%\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
.

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: Hitachi_ rev.FC4O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: >>UNKNOWN [0x82E1F000]<< >>UNKNOWN [0x8BC38000]<< >>UNKNOWN [0x8CA8C000]<< >>UNKNOWN [0x8CA51000]<< >>UNKNOWN [0x8322F000]<< >>UNKNOWN [0x8BE02000]<<
_asm { DEC EBP; POP EDX; NOP ; ADD [EBX], AL; ADD [EAX], AL; ADD [EAX+EAX], AL; ADD [EAX], AL; }
1 ntkrnlpa!IofCallDriver[0x82E5B458] -> \Device\Harddisk0\DR0[0x875795F8]
\Driver\Disk[0x8757ABD0] -> IRP_MJ_CREATE -> 0x8BC3C39F
3 [0x8BC3C59E] -> ntkrnlpa!IofCallDriver[0x82E5B458] -> [0x87579030]
\Driver\hpdskflt[0x87530620] -> IRP_MJ_CREATE -> 0x8CA52FB0
5 [0x8CA53090] -> ntkrnlpa!IofCallDriver[0x82E5B458] -> \Device\Ide\IAAStorageDevice-1[0x86AC3038]
\Driver\iaStor[0x86B0EF38] -> IRP_MJ_CREATE -> 0x8BE46954
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'Explorer.exe'(5000)
c:\program files\Hewlett-Packard\IAM\Bin\ItClient.dll
c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll
c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\atieclxx.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\windows\system32\AEADISRV.EXE
c:\program files\LSI SoftModem\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\taskhost.exe
c:\program files\Hewlett-Packard\IAM\Bin\AsGHost.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conhost.exe
c:\program files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\Hewlett-Packard\Shared\hpqToaster.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Completion time: 2010-12-15 08:51:34 - machine was rebooted
ComboFix-quarantined-files.txt 2010-12-15 07:51
ComboFix2.txt 2010-12-14 06:01
ComboFix3.txt 2010-12-12 10:37
ComboFix4.txt 2010-11-26 23:00
ComboFix5.txt 2010-12-15 07:40

Pre-Run: 131 533 447 168 bytes free
Post-Run: 131 038 306 304 bytes free

- - End Of File - - 79D012463AA470CC6A865DFB2CF021A5

Já jsem právě až moc pečlivá .
Co počítač? Stále se mi nelíbí tento záznam, i když je Gmer čistý
Warning: possible TDL3 rootkit infection !

Může to být nějaká falešná detekce combofixu, ale nemusí. Znamená to, že je ještě v mbr sektoru zažraný rootkit. Jenže jak jsem předpokládala, máte HP, a ten používá šifrování disku, takže když udělám klasický příkaz Fimxbr, už se nedostanete do systému.

Takže vydržte ještě chvilku, poradím se s kolegou, asi večer bych mohla vědět co s tím

Zatím udělejte ještě Avptool,viz můj podpis, jestli jsme ho nedělali.

Tu je výsledek z AVPTool :

Automatická kontrola: dokončeno před 17 min. (události: 4, objekty: 414159, čas: 00:54:41)
15.12.2010 11:37:27 Úloha byla spuštěna
15.12.2010 12:22:47 Zjištěno: Trojan-Downloader.JS.Inor.a D:\Miniaplikace\580 Windows 7 Gadgets.rar/580 Windows 7 Gadgets/dexigner.gadget/gadget.html
15.12.2010 12:22:47 Neošetřeno: Trojan-Downloader.JS.Inor.a D:\Miniaplikace\580 Windows 7 Gadgets.rar/580 Windows 7 Gadgets/dexigner.gadget/gadget.html Zápis není podporován
15.12.2010 12:32:08 Úloha byla dokončena

Fajn, co počítač? Vydržte ještě do zítřka, poptám se kolegu na toho mbr rootkita.

Takže antivír "AVIRA" jde spustit,miniaplikace ty začaly fungovat už při vaší první radě,PC jde nyní podle mně dobře jen občas na některých stránkách zničeho nic se ještě zasekne.To řeším spuštěním "Správce úloh" a "Ukončit proces".Při psaní SMS-ek ze stránky O2,když PC zamrzne,tak po spuštění "Správce úloh" v něm ukončím dwm.exe a mohu pokračovat v psaní,aniž bych musel se znovu přihlašovat.
Zatím Vám moc a moc děkuji za dosavadní pomoc,přeji hezký zbytek dne a zítra nashledanou .

Tak kolega si také myslí, že to bude tím šifrováním, co používá HP. V lozích z gmeru, TDSS ani AVPtoolu není nic, co by nasvědčovalo tomu, že by jste tdl3 měl.


Tuhle složku znáte?
c:\programdata\IAHBV


Odinstalujte combofix přes Start - Spustit
- zkopírujte do okénka:

ComboFix /Uninstall

-stiskněte Enter
-To odinstaluje ComboFix a smaže s ním související soubory a složky.


***********


Stáhněte T-Cleaner
http://sweb.cz/Marinus/T-Cleaner.exe

-Spusťte,pro potvrzení volby mačkejte klávesu A, Enter
-po použití prográmek vymažte.Pozor,antiviry ho mohou falešně označit za vir



***********


Z mého podpisu stahněte Ccleaner
- nainstalujte, při výběru, co se má nainstalovat, dejte pryč fajfku u instalace yahoo toolbaru

záložka čistič
- nechejte v levém sloupečku zatrhnuté vše jak je, klikněte na analyzovat
- po analýze klikněte na Spustit Ccleaner

záložka Registry
- klikněte na hledej problémy
- pak klikněte na opravit vybrané problémy -- udělat zálohu registrů - nemusíte
- kliknete opravit všechny problémy ok zavřít

Záložka Nástroje
- zde můžete odinstalovat programy. Je to důkladnější odinstalace než u přidat/odebrat programy ve Windows.

Ccleaner - čistič doporučuji používat, krásně pročistí pc od dočasných souborů.
Registry pročistí třeba po odinstalaci nějakého programu.


***********



Stahněte OTC a použijte
http://oldtimer.geekstogo.com/OTC.exe
-vyčistí tempy a po použitých programech



***********


Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
-do bílého okna dole skopírujte tento skript: - zaškrtněte okénko Pro všechny uživatele.
-označte okénka Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
- Klikněte na tlačítko Prohledat
-po dokončení skenu se objeví logy OTL.Txt a Extras.txt, vložte je zde

Dobrý večer. "c:\programdata\IAHBV" Tuto složku neznám a ani jsem ji ve svém PC nenašel.

Potřeboval bych poradit,jak konkrétně odinstalovat ten "combofix".Kliknul jsem na "Start",jen další postup mi není zcela srozumitelný.Do jakého okénka mám zkopírovat ten ComboFix /Uninstall?Mohla by jste mi prosím Vás "Polopaticky" tento postup vysvětlit?Zkoušel jsem to všelijak,ale nepovedlo se mi to.

A ještě jedna věc by mně zajímala,to tdl3 je nějaký šmejd(vír)?Předem Vám děkuji za pomoc.

Omlouvám se, ta složka je skrytá, konkrétně tyto dvě, podle návodu níže odkryjte skryté soubory a mrkněte, co v těch složkách je.
2010-12-11 17:08 . 2010-12-11 18:17 -------- d-sh--w- c:\programdata\IAHBV
2010-12-11 17:07 . 2010-12-11 18:17 -------- d-sh--w- c:\programdata\384e50

Chcete-li zobrazit všechny soubory a složky na pevných discích, tedy včetně těch, u kterých je pomocí atributů nastaveno skrytí, pak postupujte následovně. Otevřete Průzkumníka Windows (Windows + E), stiskněte klávesu F10 a klikněte na Nástroje → Možnosti složky. Přepněte se na kartu Zobrazení. V části Upřesnit nastavení najděte volbu Zobrazit skryté soubory, složky a jednotky a zrušte její zatrhnutí. Klikněte na Použít a OK.

Zdroj: http://technet.idnes.cz/nove-triky-pro- ... ftware_dvr

Vy máte win7, tam okénko spustit není, ale mělo by tam být ve startu nějaké prázdné okénko, kde prostě napíšete
ComboFix /Uninstall - enter
a combofix by se měl odinstalovat. Pokud se tak nestane, nevadí, T-cleaner to dočistí


Tdl3 rootkit je rootkit, který se spouští z Mbr sektoru při startu win. Je to pěkná potvůrka, protože je tam schovaná a není nikde vidět a vesele si komunikuje se světem, stahuje další mršky, odesílá data do světa....
Ve Vašem případě ho však combofix chybně detekuje nejspíš proto, že máte pozměněný bootovací sektor a to přímo výrobcem notebooku. HP používá šifrování disku. Proto také nemůžu použít standartní opravu bootovacího sektoru, nebot by jste se už do počítače nedostal. Doplnkové skeny Gmerem a ostatními utilitkami tdl3 rootkit nepotvrdili, takže si myslím, že je vše v pořádku