VIRY.CZ

Ještě dodám, že instalační CD bohužel nemám

Zde je log bez ESETU a AVIRY.

ComboFix 10-12-23.05 - tom 24.12.2010 12:22:45.7.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3327.2798 [GMT 1:00]
Spuštěný z: c:\documents and settings\tom\Plocha\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.exe . . . je infikován!!

c:\windows\explorer.exe . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-11-24 do 2010-12-24 )))))))))))))))))))))))))))))))
.

2010-12-23 17:49 . 2010-12-23 17:49 -------- d-----w- c:\documents and settings\tom\Data aplikací\Avira
2010-12-23 17:16 . 2010-12-23 18:18 -------- d-----w- c:\windows\system32\NtmsData
2010-12-23 17:12 . 2010-12-13 07:40 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-23 17:12 . 2010-12-13 07:40 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-23 17:12 . 2010-06-17 13:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-12-23 17:12 . 2010-06-17 13:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-12-23 17:12 . 2010-12-23 17:12 -------- d-----w- c:\program files\Avira
2010-12-23 17:12 . 2010-12-23 17:12 -------- d-----w- c:\documents and settings\All Users\Data aplikaci\Avira
2010-12-23 16:39 . 2010-12-23 17:52 -------- d-----w- c:\program files\trend micro
2010-12-23 16:27 . 2010-12-23 16:27 -------- d-----w- C:\rsit
2010-12-19 17:26 . 2010-12-19 17:26 -------- d-----w- c:\documents and settings\All Users\Data aplikaci\Trymedia
2010-12-10 11:59 . 2010-12-10 11:59 -------- d-----w- c:\documents and settings\tom\Local Settings\Data aplikací\Mumble
2010-12-10 11:56 . 2010-12-18 09:59 -------- d-----w- c:\documents and settings\tom\Data aplikací\Mumble
2010-12-10 11:56 . 2010-12-10 11:56 -------- d-----w- c:\program files\Mumble
2010-11-29 22:43 . 2005-01-02 21:43 4682 ----a-w- c:\windows\system32\npptNT2.sys
2010-11-29 22:43 . 2003-07-19 06:17 5174 ----a-w- c:\windows\system32\nppt9x.vxd
2010-11-26 22:27 . 2010-11-26 22:27 -------- d-----w- c:\documents and settings\tom\Local Settings\Data aplikací\Opera
2010-11-26 22:27 . 2010-12-16 21:32 -------- d-----w- c:\program files\Opera
2010-11-25 21:07 . 2010-12-23 17:15 -------- d-----w- c:\documents and settings\All Users\Data aplikaci\Spybot - Search & Destroy
2010-11-25 21:07 . 2010-11-25 21:07 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-11-24 21:24 . 2010-11-24 21:24 -------- d-----w- c:\documents and settings\All Users\Data aplikaci\Alwil Software

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-18 18:15 . 2010-01-30 20:35 81920 ----a-w- c:\windows\system32\isign32.dll
2010-11-05 05:02 . 2008-04-14 06:52 668160 ----a-w- c:\windows\system32\wininet.dll
2010-11-05 05:02 . 2008-04-14 06:51 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2008-04-14 06:50 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-11-05 04:59 . 2008-04-14 05:50 370176 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-04-13 22:27 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:09 . 2008-04-14 06:37 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 13:58 . 2008-04-14 05:45 1853312 ----a-w- c:\windows\system32\win32k.sys
2010-10-10 07:59 . 2010-09-24 18:09 2 --shatr- c:\windows\winstart.bat
2010-10-01 15:55 . 2010-10-01 18:14 722432 ----a-w- c:\windows\system32\SUXEBE.DLL.del
.

------- Sigcheck -------

[-] 2008-04-14 . 7C3436CC32E8CF8202B28673111A6D0A . 507904 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . B2F3BD353E121811B5967C949143DD9C . 1034240 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-12-24_00.19.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-24 11:17 . 2010-12-24 11:17 16384 c:\windows\Temp\Perflib_Perfdata_400.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-03 5964800]
"Ai Nap"="c:\program files\ASUS\AI Suite\AiNap\AiNap.exe" [2008-05-21 1423360]
"QFan Help"="c:\program files\ASUS\AI Suite\QFan3\QFanHelp.exe" [2008-05-06 594432]
"Cpu Level Up help"="c:\program files\ASUS\AI Suite\CpuLevelUpHelp.exe" [2007-11-30 881152]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
2010-11-24 15:52 2155832 ----a-w- c:\program files\CCleaner\CCleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GAINWARD]
2008-10-21 15:12 2177576 ----a-w- c:\program files\EXPERTool\TBPANEL.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" delay 20000

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Riot Games\\League of Legends\\air\\LolClient.exe"=
"c:\\Riot Games\\League of Legends\\game\\League of Legends.exe"=
"d:\\StarCraft II\\StarCraft II.exe"=
"d:\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
"c:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\TeamViewer\\Version5\\TeamViewer.exe"=
"d:\\StarCraft II\\Versions\\Base16605\\SC2.exe"=
"d:\\CS\\hl.exe"=
"d:\\StarCraft II\\Versions\\Base16755\\SC2.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"d:\\World of Warcraft\\World of Warcraft\\Launcher.exe"=
"d:\\World of Warcraft\\World of Warcraft\\Blizzard Downloader.exe"=
"c:\\Program Files\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57840:TCP"= 57840:TCP:Pando Media Booster
"57840:UDP"= 57840:UDP:Pando Media Booster
"8377:TCP"= 8377:TCP:League of Legends Launcher
"8377:UDP"= 8377:UDP:League of Legends Launcher
"8378:TCP"= 8378:TCP:League of Legends Launcher
"8378:UDP"= 8378:UDP:League of Legends Launcher
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"6917:TCP"= 6917:TCP:League of Legends Launcher
"6917:UDP"= 6917:UDP:League of Legends Launcher
"8379:TCP"= 8379:TCP:League of Legends Launcher
"8379:UDP"= 8379:UDP:League of Legends Launcher
"6975:TCP"= 6975:TCP:League of Legends Launcher
"6975:UDP"= 6975:UDP:League of Legends Launcher
"8380:TCP"= 8380:TCP:League of Legends Launcher
"8380:UDP"= 8380:UDP:League of Legends Launcher
"6920:TCP"= 6920:TCP:League of Legends Launcher
"6920:UDP"= 6920:UDP:League of Legends Launcher
"6918:TCP"= 6918:TCP:League of Legends Launcher
"6918:UDP"= 6918:UDP:League of Legends Launcher
"6982:TCP"= 6982:TCP:League of Legends Launcher
"6982:UDP"= 6982:UDP:League of Legends Launcher
"6888:TCP"= 6888:TCP:League of Legends Launcher
"6888:UDP"= 6888:UDP:League of Legends Launcher
"3389:TCP"= 3389:TCP:Remote Desktop
"8381:TCP"= 8381:TCP:League of Legends Launcher
"8381:UDP"= 8381:UDP:League of Legends Launcher
"2570:TCP"= 2570:TCP:Services
"3640:TCP"= 3640:TCP:Services

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [23.6.2008 23:21 150568]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.2.2010 21:16 691696]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [23.12.2010 18:12 135336]
R2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [21.6.2010 9:23 173352]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
.
------- Doplňkový sken -------
.
IE: Crawler Search - tbr:iemenu
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-24 12:25
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
Celkový čas: 2010-12-24 12:26:33
ComboFix-quarantined-files.txt 2010-12-24 11:26
ComboFix2.txt 2010-12-24 11:19
ComboFix3.txt 2010-12-24 09:41
ComboFix4.txt 2010-12-24 00:21

Před spuštěním: 5 433 905 152
Po spuštění: 5 423 558 656

- - End Of File - - 67B5A54F9E21CCF53FC75929F9C1C747

Už dochází k přesměrování na stránky, které jsou označené jako škodlivé

Yutaka píše:Už dochází k přesměrování na stránky, které jsou označené jako škodlivé

Tohle jste myslel jak

Dejte mi chvili, pripravim dalsi postup, musime ty infikovane soubory nahradit...

Např. zde na foru pročítám posty od jiných lidí. Místo toho aby mě Opera načetla daný thread začne načítat stránku, která je ihned označená jako škodlivá. Dochazí k přesměrování na zavirované stránky.

No vypada to zajimave

Uvidime co se da delat

Stahnete si tyhle dva soubory z LP http://leteckaposta.cz/515535878 a ulozte je primo na disk c:\ tak aby nebyly v zadne slozce

Pokud nemate, tak presunte Combofix na plochu

Spustte poznamkovy blok (Start-spustit-notepad)
Zkopirujte skript nize

Kód: Vybrat vše

Fcopy::
c:\winlogon.exe | c:\windows\system32\winlogon.exe
c:\explorer.exe | c:\windows\explorer.exe

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
"2570:TCP"=-
"3640:TCP"=-

Reboot::

Ulozte vytvoreny TXT jako CFScript.txt
Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

Udelejte sken pomoci AVPTool - navod od kolegy zde http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 - log pak dejte sem

ComboFix 10-12-23.05 - tom 24.12.2010 12:43:08.8.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3327.2715 [GMT 1:00]
Spuštěný z: c:\documents and settings\tom\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\tom\Plocha\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\explorer.exe
C:\winlogon.exe

.
--------------- FCopy ---------------

c:\winlogon.exe --> c:\windows\system32\winlogon.exe
c:\explorer.exe --> c:\windows\explorer.exe
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-11-24 do 2010-12-24 )))))))))))))))))))))))))))))))
.

2010-12-23 17:49 . 2010-12-23 17:49 -------- d-----w- c:\documents and settings\tom\Data aplikací\Avira
2010-12-23 17:16 . 2010-12-23 18:18 -------- d-----w- c:\windows\system32\NtmsData
2010-12-23 17:12 . 2010-12-13 07:40 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-23 17:12 . 2010-12-13 07:40 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-23 17:12 . 2010-06-17 13:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-12-23 17:12 . 2010-06-17 13:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-12-23 17:12 . 2010-12-23 17:12 -------- d-----w- c:\program files\Avira
2010-12-23 17:12 . 2010-12-23 17:12 -------- d-----w- c:\documents and settings\All Users\Data aplikaci\Avira
2010-12-23 16:39 . 2010-12-23 17:52 -------- d-----w- c:\program files\trend micro
2010-12-23 16:27 . 2010-12-23 16:27 -------- d-----w- C:\rsit
2010-12-19 17:26 . 2010-12-19 17:26 -------- d-----w- c:\documents and settings\All Users\Data aplikaci\Trymedia
2010-12-10 11:59 . 2010-12-10 11:59 -------- d-----w- c:\documents and settings\tom\Local Settings\Data aplikací\Mumble
2010-12-10 11:56 . 2010-12-18 09:59 -------- d-----w- c:\documents and settings\tom\Data aplikací\Mumble
2010-12-10 11:56 . 2010-12-10 11:56 -------- d-----w- c:\program files\Mumble
2010-11-29 22:43 . 2005-01-02 21:43 4682 ----a-w- c:\windows\system32\npptNT2.sys
2010-11-29 22:43 . 2003-07-19 06:17 5174 ----a-w- c:\windows\system32\nppt9x.vxd
2010-11-26 22:27 . 2010-11-26 22:27 -------- d-----w- c:\documents and settings\tom\Local Settings\Data aplikací\Opera
2010-11-26 22:27 . 2010-12-16 21:32 -------- d-----w- c:\program files\Opera
2010-11-25 21:07 . 2010-12-23 17:15 -------- d-----w- c:\documents and settings\All Users\Data aplikaci\Spybot - Search & Destroy
2010-11-25 21:07 . 2010-11-25 21:07 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-11-24 21:24 . 2010-11-24 21:24 -------- d-----w- c:\documents and settings\All Users\Data aplikaci\Alwil Software

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-24 11:41 . 2008-04-14 06:52 1034240 ----a-w- c:\windows\explorer.exe
2010-12-24 11:40 . 2008-04-14 06:52 507904 ----a-w- c:\windows\system32\winlogon.exe
2010-11-18 18:15 . 2010-01-30 20:35 81920 ----a-w- c:\windows\system32\isign32.dll
2010-11-05 05:02 . 2008-04-14 06:52 668160 ----a-w- c:\windows\system32\wininet.dll
2010-11-05 05:02 . 2008-04-14 06:51 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2008-04-14 06:50 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-11-05 04:59 . 2008-04-14 05:50 370176 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-04-13 22:27 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:09 . 2008-04-14 06:37 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 13:58 . 2008-04-14 05:45 1853312 ----a-w- c:\windows\system32\win32k.sys
2010-10-10 07:59 . 2010-09-24 18:09 2 --shatr- c:\windows\winstart.bat
2010-10-01 15:55 . 2010-10-01 18:14 722432 ----a-w- c:\windows\system32\SUXEBE.DLL.del
.

((((((((((((((((((((((((((((( SnapShot@2010-12-24_00.19.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-24 11:46 . 2010-12-24 11:46 16384 c:\windows\Temp\Perflib_Perfdata_950.dat
+ 2010-12-24 11:46 . 2010-12-24 11:46 16384 c:\windows\Temp\Perflib_Perfdata_6cc.dat
+ 2010-12-24 11:17 . 2010-12-24 11:17 16384 c:\windows\Temp\Perflib_Perfdata_400.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-03 5964800]
"Ai Nap"="c:\program files\ASUS\AI Suite\AiNap\AiNap.exe" [2008-05-21 1423360]
"QFan Help"="c:\program files\ASUS\AI Suite\QFan3\QFanHelp.exe" [2008-05-06 594432]
"Cpu Level Up help"="c:\program files\ASUS\AI Suite\CpuLevelUpHelp.exe" [2007-11-30 881152]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
2010-11-24 15:52 2155832 ----a-w- c:\program files\CCleaner\CCleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GAINWARD]
2008-10-21 15:12 2177576 ----a-w- c:\program files\EXPERTool\TBPANEL.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" delay 20000

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Riot Games\\League of Legends\\air\\LolClient.exe"=
"c:\\Riot Games\\League of Legends\\game\\League of Legends.exe"=
"d:\\StarCraft II\\StarCraft II.exe"=
"d:\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
"c:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\TeamViewer\\Version5\\TeamViewer.exe"=
"d:\\StarCraft II\\Versions\\Base16605\\SC2.exe"=
"d:\\CS\\hl.exe"=
"d:\\StarCraft II\\Versions\\Base16755\\SC2.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"d:\\World of Warcraft\\World of Warcraft\\Launcher.exe"=
"d:\\World of Warcraft\\World of Warcraft\\Blizzard Downloader.exe"=
"c:\\Program Files\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57840:TCP"= 57840:TCP:Pando Media Booster
"57840:UDP"= 57840:UDP:Pando Media Booster
"8377:TCP"= 8377:TCP:League of Legends Launcher
"8377:UDP"= 8377:UDP:League of Legends Launcher
"8378:TCP"= 8378:TCP:League of Legends Launcher
"8378:UDP"= 8378:UDP:League of Legends Launcher
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"6917:TCP"= 6917:TCP:League of Legends Launcher
"6917:UDP"= 6917:UDP:League of Legends Launcher
"8379:TCP"= 8379:TCP:League of Legends Launcher
"8379:UDP"= 8379:UDP:League of Legends Launcher
"6975:TCP"= 6975:TCP:League of Legends Launcher
"6975:UDP"= 6975:UDP:League of Legends Launcher
"8380:TCP"= 8380:TCP:League of Legends Launcher
"8380:UDP"= 8380:UDP:League of Legends Launcher
"6920:TCP"= 6920:TCP:League of Legends Launcher
"6920:UDP"= 6920:UDP:League of Legends Launcher
"6918:TCP"= 6918:TCP:League of Legends Launcher
"6918:UDP"= 6918:UDP:League of Legends Launcher
"6982:TCP"= 6982:TCP:League of Legends Launcher
"6982:UDP"= 6982:UDP:League of Legends Launcher
"6888:TCP"= 6888:TCP:League of Legends Launcher
"6888:UDP"= 6888:UDP:League of Legends Launcher
"3389:TCP"= 3389:TCP:Remote Desktop
"8381:TCP"= 8381:TCP:League of Legends Launcher
"8381:UDP"= 8381:UDP:League of Legends Launcher
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"9882:TCP"= 9882:TCP:Services
"9883:TCP"= 9883:TCP:Services

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [23.6.2008 23:21 150568]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.2.2010 21:16 691696]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [23.12.2010 18:12 135336]
R2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [21.6.2010 9:23 173352]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
.
------- Doplňkový sken -------
.
IE: Crawler Search - tbr:iemenu
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-24 12:46
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\program files\TeamViewer\Version5\TeamViewer.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2010-12-24 12:48:04 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-12-24 11:48
ComboFix2.txt 2010-12-24 11:26
ComboFix3.txt 2010-12-24 11:19
ComboFix4.txt 2010-12-24 09:41
ComboFix5.txt 2010-12-24 11:42

Před spuštěním: 5 426 159 616
Po spuštění: 5 409 284 096

- - End Of File - - 1EF536D79FF11D43E652696C2964C30B

Tak tohle uz vypada lepe...Udelejte ten AVPTool jak jsem psal vyse...Odjizdim bohuzel na nocni, ale snad se sem behem odpoledne-vecera dostanu...

Už to běží

Zatím děkuju za pomoc. Kdybychom se dneska už nezastaihli na fóru tak přeju veselé vánoce

Automatická kontrola: dokončeno před 2 min. (události: 2, objekty: 191580, čas: 00:40:23)
24.12.2010 13:35:34 Úloha byla dokončena
24.12.2010 12:55:11 Úloha byla spuštěna

Tak jeste uklidime

Odinstalujte Combofix

Start - Spustit (nebo pouzijte klavesobou zkratku Win+R)
Napiste ComboFix /Uninstall
Stisknete Enter
Tohle smaze Combofix a jeho slozky

T-Cleaner http://sweb.cz/Marinus/T-Cleaner.exe

Stahnete a spustte
Pro potvrzeni volby mackejte A, Enter
Po pouziti utilitu smazte
Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

Stahnete a spustte
Kliknete na CleanUp a potvrdte YES
Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

Stahnete a spustte
Kliknete na Start a potvrdte OK
Program uklidi a restartuje pc
Po pouziti utilitu smazte

Stahnete Ccleaner (viz muj podpis)
Panel čistič

Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

dejte Hledej problémy
nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za 14 dni

A poprosim o novy log z RSIT

VIRY.CZ

Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí

Re: Prosím o kontrolu logu. Některé stránky nenajíždějí