VIRY.CZ

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3630
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.1.2010 0:45:14
mbam-log-2010-01-25 (00-44-57).txt

Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 168507
Uplynulý čas: 36 minute(s), 58 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 2

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\32788R22FWJFW\Combo-Fix.sys (Malware.Trace) -> No action taken.
C:\System Volume Information\_restore{6A8A475E-4C31-4B02-B009-3D3E5A0C83DA}\RP48\A0008889.sys (Malware.Trace) -> No action taken.

Začalo se něco dít po tom, co jste ten textový soubor přetáhl a pustil nad ComboFixem?
Pojmenoval jste ho CFScript.txt ?
Pokud se něco stalo a počítač se restartoval, zkuste najít ten textový soubor v umístěních: C:\ComboFix.txt | C:\ComboFix\ComboFix.txt
Je možné, že tam bude například ComboFix1.txt - v tom případě mi vložte ten s jedničkou (či dvojkou, trojkou...).

Po tom co jsem ho přetáhl nad Combo normálně proběhl proces (tak jako na animaci), ale poté se nestalo vůbec nic- nerestartoval se, nevyskočil žádný log. Ten soubor jsem pojmenoval CFScript.txt ale ikona na ploše neměla koncovku - CFScript - dosud ho tam mám. Hledal jsem nějaký textový soubor v Combu - jediný který mám v počítači je tento :

ComboFix 10-01-23.06 - Zuzana 24.01.2010 17:29:33.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.629 [GMT 1:00]
Spuštěný z: c:\documents and settings\Zuzana\Plocha\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-12-24 do 2010-01-24 )))))))))))))))))))))))))))))))
.

2010-01-24 16:02 . 2010-01-24 16:02 -------- d-----w- C:\_OTM
2010-01-20 21:12 . 2010-01-20 21:12 -------- d-----w- c:\program files\ReviverSoft
2010-01-17 15:55 . 2010-01-17 15:55 -------- d-----w- C:\$AVG
2010-01-17 15:55 . 2010-01-17 15:55 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-01-17 15:55 . 2010-01-17 15:55 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-01-17 15:55 . 2010-01-17 15:55 28424 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-01-17 15:54 . 2010-01-24 10:08 -------- d-----w- c:\windows\system32\drivers\Avg
2010-01-17 15:54 . 2010-01-17 15:54 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-01-17 15:54 . 2010-01-17 15:54 -------- d-----w- c:\program files\AVG
2010-01-13 17:45 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-24 16:20 . 2009-11-05 21:51 -------- d-----w- c:\program files\trend micro
2010-01-24 11:27 . 2009-12-02 21:14 -------- d-----w- c:\program files\Winter Night 3D Screensaver
2010-01-24 11:13 . 2008-09-16 14:47 -------- d-----w- c:\program files\EA SPORTS
2010-01-24 11:13 . 2008-03-01 17:10 -------- d-----w- c:\program files\ESET
2010-01-19 15:55 . 2008-03-01 17:50 -------- d-----w- c:\program files\Common Files\Adobe
2009-12-25 14:07 . 2009-12-25 14:07 -------- d-----w- c:\program files\TomTom International B.V
2009-12-22 10:43 . 2009-12-22 10:35 -------- d-----w- c:\program files\CrossLoop
2009-12-21 19:08 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-10 18:55 . 2006-03-02 12:00 83674 ----a-w- c:\windows\system32\perfc005.dat
2009-12-10 18:55 . 2006-03-02 12:00 441140 ----a-w- c:\windows\system32\perfh005.dat
2009-12-02 21:20 . 2009-12-02 21:14 -------- d-----w- c:\program files\Astro Gemini Software
2009-11-30 20:13 . 2009-10-14 21:03 -------- d-----w- c:\program files\MSXML 4.0
2009-11-29 19:26 . 2009-11-29 19:13 -------- d-----w- c:\program files\Winferno
2009-11-29 19:14 . 2009-11-29 19:14 -------- d-----w- c:\program files\Freeze.com
2009-11-29 19:14 . 2009-11-29 19:14 -------- d-----w- c:\program files\Free Offers from Freeze.com
2009-11-29 13:58 . 2009-11-29 13:58 -------- d-----w- c:\program files\Common Files\Freedom Scientific
2009-11-29 13:58 . 2009-11-29 13:58 -------- d-----w- c:\program files\Common Files\soft602
2009-11-29 13:57 . 2009-11-29 13:57 -------- d-----w- c:\program files\Software602
2009-11-21 16:03 . 2006-03-02 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-08 08:11 . 2009-04-24 12:18 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-04-16 24264488]
"TomTomHOME.exe"="d:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-12 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-05-13 1397760]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-01-18 2033432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-01-17 15:55 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\Common Files\\HP\\Digital Imaging\\Bin\\hpqPhotoCrm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [17.1.2010 16:55 333192]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [17.1.2010 16:54 360584]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [17.1.2010 16:54 285392]
R2 TomTomHOMEService;TomTomHOMEService;d:\program files\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 12:31 92008]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.4.2009 13:18 691696]
S2 gupdate1c9d71e862faa52;Služba Google Update (gupdate1c9d71e862faa52);c:\program files\Google\Update\GoogleUpdate.exe [17.5.2009 19:37 133104]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Obsah adresáře 'Naplánované úlohy'

2010-01-24 c:\windows\Tasks\User_Feed_Synchronization-{AC031B19-ACCE-45CF-954D-F61258EEC062}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: postsignum.cz\qca
DPF: {672EE252-D813-4F5E-81BB-5DD163DD4FA5} - hxxps://www.czebox.cz/static/pages/isds/cab/filleractivex.cab
FF - ProfilePath - c:\documents and settings\Zuzana\Data aplikací\Mozilla\Firefox\Profiles\uhhlvri7.default\
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.daemon-search.com/startpage|http://www.seznam.cz/
FF - component: c:\documents and settings\Zuzana\Data aplikací\Mozilla\Firefox\Profiles\uhhlvri7.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBook.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBookDB.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpNeoLogger.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSaturn.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSeymour.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartSelect.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartWebPrinting.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSWPOperation.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPLogging.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTC.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTL.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXREStub.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\plugins\nphpclipbook.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npfiller.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-24 17:37
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\sxs.dll
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2010-01-24 17:41:40
ComboFix-quarantined-files.txt 2010-01-24 16:41

Před spuštěním: Volných bajtů: 30 023 254 016
Po spuštění: Volných bajtů: 29 987 856 384

- - End Of File - - F3AA05CFC06FE9DFEAF9FBDCAB8E4EB0

Ten ne... To je zvláštní.
Zkuste ho nechat jen jako CFScript - txt je zřejmě skryto - proto to asi vypadá CFScript.txt.txt

A poté opět přetáhnout nad CF.

ted se už zdálo, že to něco uděla, ale dalo to varující hlášku - " Warning! CD-emulation drivers are running on this machine. Combo Fix needs to temporarily disable them "

na to varování jsem dal OK - pak se počítač restartoval.Po naběhnutí se objevilo několik rychlých hlášek, probliklo několik oken a pak začal Combo pracovat- po dokončení toho scanu se restartoval a doteď se "vypíná" - už to trvá dost dlouho.já jsem ted připojený na jiném počítači a dost dobře neví jestli je to tak správně???

spíš se mi to nějak nelíbí - mám stím něco dělat?

nemám tomu vypínání nějak pomoci???

Minimálně 10 minut nechte běžet, poté manuální reset...

resetoval jsem manuálně - combo připravuje log report. Až to bude přihlásím se opět na původním počítači a pošlu ho

Super.

tak už jsem zase na původním PC - zde je log z Comba:

ComboFix 10-01-25.01 - Zuzana 25.01.2010 21:31:59.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.580 [GMT 1:00]
Spuštěný z: c:\documents and settings\Zuzana\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Zuzana\Plocha\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Zuzana\Data aplikací\Mozilla\Firefox\Profiles\uhhlvri7.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
c:\program files\Winferno

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-25 do 2010-01-25 )))))))))))))))))))))))))))))))
.

2010-01-24 23:04 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-24 23:04 . 2010-01-24 23:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-24 23:04 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-24 20:18 . 2010-01-24 20:19 -------- d-----w- c:\windows\system32\NtmsData
2010-01-24 16:02 . 2010-01-24 16:02 -------- d-----w- C:\_OTM
2010-01-20 21:12 . 2010-01-20 21:12 -------- d-----w- c:\program files\ReviverSoft
2010-01-17 15:55 . 2010-01-17 15:55 -------- d-----w- C:\$AVG
2010-01-17 15:55 . 2010-01-17 15:55 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-01-17 15:55 . 2010-01-17 15:55 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-01-17 15:55 . 2010-01-17 15:55 28424 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-01-17 15:54 . 2010-01-25 19:24 -------- d-----w- c:\windows\system32\drivers\Avg
2010-01-17 15:54 . 2010-01-17 15:54 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-01-17 15:54 . 2010-01-17 15:54 -------- d-----w- c:\program files\AVG
2010-01-13 17:45 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-24 16:20 . 2009-11-05 21:51 -------- d-----w- c:\program files\trend micro
2010-01-24 11:27 . 2009-12-02 21:14 -------- d-----w- c:\program files\Winter Night 3D Screensaver
2010-01-24 11:13 . 2008-09-16 14:47 -------- d-----w- c:\program files\EA SPORTS
2010-01-24 11:13 . 2008-03-01 17:10 -------- d-----w- c:\program files\ESET
2010-01-19 15:55 . 2008-03-01 17:50 -------- d-----w- c:\program files\Common Files\Adobe
2009-12-25 14:07 . 2009-12-25 14:07 -------- d-----w- c:\program files\TomTom International B.V
2009-12-22 10:43 . 2009-12-22 10:35 -------- d-----w- c:\program files\CrossLoop
2009-12-21 19:08 . 2006-03-02 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-10 18:55 . 2006-03-02 12:00 83674 ----a-w- c:\windows\system32\perfc005.dat
2009-12-10 18:55 . 2006-03-02 12:00 441140 ----a-w- c:\windows\system32\perfh005.dat
2009-12-02 21:20 . 2009-12-02 21:14 -------- d-----w- c:\program files\Astro Gemini Software
2009-11-30 20:13 . 2009-10-14 21:03 -------- d-----w- c:\program files\MSXML 4.0
2009-11-29 13:58 . 2009-11-29 13:58 -------- d-----w- c:\program files\Common Files\Freedom Scientific
2009-11-29 13:58 . 2009-11-29 13:58 -------- d-----w- c:\program files\Common Files\soft602
2009-11-29 13:57 . 2009-11-29 13:57 -------- d-----w- c:\program files\Software602
2009-11-21 16:03 . 2006-03-02 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-08 08:11 . 2009-04-24 12:18 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-04-16 24264488]
"TomTomHOME.exe"="d:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-05-13 1397760]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-01-18 2033432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-01-17 15:55 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\Common Files\\HP\\Digital Imaging\\Bin\\hpqPhotoCrm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.4.2009 13:18 691696]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [17.1.2010 16:55 333192]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [17.1.2010 16:54 360584]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [17.1.2010 16:54 285392]
R2 TomTomHOMEService;TomTomHOMEService;d:\program files\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 12:31 92008]
S2 gupdate1c9d71e862faa52;Služba Google Update (gupdate1c9d71e862faa52);c:\program files\Google\Update\GoogleUpdate.exe [17.5.2009 19:37 133104]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Obsah adresáře 'Naplánované úlohy'

2010-01-25 c:\windows\Tasks\Registry Reviver-Zuzana-Startup.job
- c:\program files\ReviverSoft\Registry Reviver\RegistryReviver.exe [2010-01-12 09:14]

2010-01-25 c:\windows\Tasks\User_Feed_Synchronization-{AC031B19-ACCE-45CF-954D-F61258EEC062}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: postsignum.cz\qca
DPF: {672EE252-D813-4F5E-81BB-5DD163DD4FA5} - hxxps://www.czebox.cz/static/pages/isds/cab/filleractivex.cab
FF - ProfilePath - c:\documents and settings\Zuzana\Data aplikací\Mozilla\Firefox\Profiles\uhhlvri7.default\
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBook.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBookDB.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpNeoLogger.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSaturn.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSeymour.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartSelect.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartWebPrinting.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSWPOperation.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPLogging.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTC.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTL.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXREStub.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\plugins\nphpclipbook.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npfiller.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-25 22:19
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spow.sys >>UNKNOWN [0x8678E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf761ff28
\Driver\ACPI -> ACPI.sys @ 0xf73a7cb8
\Driver\atapi -> atapi.sys @ 0xf7362b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: Realtek RTL8169/8110 Family Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf726bbb0
PacketIndicateHandler -> NDIS.sys @ 0xf7278a21
SendHandler -> NDIS.sys @ 0xf725687b
user & kernel MBR OK

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(700)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2076)
c:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Ahead\InCD\InCDsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wscntfy.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
.
**************************************************************************
.
Celkový čas: 2010-01-25 22:25:01 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-25 21:24
ComboFix2.txt 2010-01-24 16:41

Před spuštěním: Volných bajtů: 29 919 793 152
Po spuštění: Volných bajtů: 29 911 412 736

- - End Of File - - 8756ECF7C2982EEFF73F945A8087FEE8

Jdeme dál. A ten Registry Reviver bych raději opravdu dal pryč.

~~~

Odinstalujte všechny virtuální mechaniky (Daemon, Alcohol atp.)

~~~

Stáhněte SPTD

• Vyberte verzi podle svého operačního systému. SPTD for Windows - 32 bit nebo 64b.
• Uložte soubor na Plochu a spusťte.
• Zvolte možnost Uninstall
• Restartujte PC.

~~~

Stáhněte MBR.exe
Uložte tuto utilitu na Plochu.
Stiskněte Start -> Spustit [Win+R] -> zadejte / vkopírujte následující: a stiskněte Enter.
Na ploše se vytvoří textový soubor s názvem mbr.log, jehož obsah mi sem vkopírujete.

~~~

Stáhněte GMER a dvojklikem spusťte.
Několik sekund bude skenovat. Poté klikněte na 'Save' v pravém dolním rohu a uložte první log - ten vložte sem do fóra.
Poté vytvořte druhý log, přičemž se budete řídit tímto návodem. Tento log sem také vložte.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

Super, teď dál.