vir Security Tool.

[annjo]

Díky, tak ted mám flašky i ipod v PC a jdu naistalovat ComboFix, pak ho tedy pustím pod pod účtem s právy administrátora a budu se dál řídt pokyny

[motji]

Ano

[annjo]

Tak jsem stáhla Combofix, ale nejde mu spusti :/ Všecny okna mám zavřené kromě správce stahování...co mám dělat?

[motji]

Máte combofix na ploše?
Zkuste ho přejmenovat - pravým myšítkem klikněte na ikonu combofixu - přejmenovat - cobra.com

Když ho chcete spustit, děje se něco?

[annjo]

Tak jo, před tím jsem to stahovala v mozile, ted už v inet explorer. Takže to stáhnu a instaluju....

[annjo]

ComboFix 10-02-12.01 - Anička 13.02.2010 21:53:27.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.447.192 [GMT 1:00]
Spuštěný z: c:\documents and settings\Anička\Plocha\ComboFix.exe
AV: avast! antivirus 4.8.1227 [VPS 091118-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\windows\EventSystem.log
c:\windows\system32\drivers\npf.sys
c:\windows\system32\ieuinit.inf
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf


((((((((((((((((((((((((( Soubory vytvořené od 2010-01-13 do 2010-02-13 )))))))))))))))))))))))))))))))
.

2010-02-12 20:58 . 2010-02-12 20:58 -------- d-----w- C:\_OTM
2010-02-12 20:12 . 2010-02-12 20:13 -------- d-----w- c:\program files\trend micro
2010-02-12 20:12 . 2010-02-12 20:13 -------- d-----w- C:\rsit
2010-02-12 18:26 . 2010-02-12 18:59 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-28 18:18 . 2010-01-28 18:18 -------- d-----w- c:\program files\iPod
2010-01-28 18:10 . 2010-01-28 18:11 -------- d-----w- c:\program files\QuickTime
2010-01-28 16:16 . 2010-01-28 16:16 54836 ---ha-w- c:\windows\system32\mlfcache.dat
2010-01-28 16:04 . 2010-01-28 16:04 -------- d-----w- c:\program files\Safari

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-28 18:19 . 2009-09-19 19:31 -------- d-----w- c:\program files\iTunes
2010-01-28 18:18 . 2009-09-19 19:29 -------- d-----w- c:\program files\Common Files\Apple
2010-01-12 15:49 . 2009-09-19 18:46 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-12 12:51 . 2010-01-12 12:51 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-12 12:51 . 2010-01-12 12:51 -------- d-----w- c:\program files\Java
2004-08-17 13:49 . 2004-08-17 13:49 165281 --sha-r- c:\windows\system32\hatun.dll
.

------- Sigcheck -------

[-] 2004-08-17 . A29C1C77CC410F1C4722F5B3C29A963A . 102912 . . [5.4.3790.2180] . . c:\windows\system32\wuauclt.exe
[-] 2004-08-17 . A29C1C77CC410F1C4722F5B3C29A963A . 102912 . . [5.4.3790.2180] . . c:\windows\system32\dllcache\wuauclt.exe

[-] 2004-08-17 . B99E0324EBA404406C3475BBE5E2B9EA . 623104 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2004-08-17 . B99E0324EBA404406C3475BBE5E2B9EA . 623104 . . [5.82] . . c:\windows\system32\dllcache\comctl32.dll

[-] 2004-08-17 . 37E76305F95A06F5E53435ECD2C0F24E . 3081728 . . [6.00.2900.2180] . . c:\windows\system32\mshtml.dll
[-] 2004-08-17 . 37E76305F95A06F5E53435ECD2C0F24E . 3081728 . . [6.00.2900.2180] . . c:\windows\system32\dllcache\mshtml.dll

[-] 2004-08-17 . F5C4D462D3EFB869D7325B629FAFDDB2 . 576512 . . [5.1.2600.2180] . . c:\windows\system32\user32.dll
[-] 2004-08-17 . F5C4D462D3EFB869D7325B629FAFDDB2 . 576512 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\user32.dll

[-] 2004-08-17 . D71F71C75B1652CF7795D9F5A8688977 . 678400 . . [6.00.2900.2180] . . c:\windows\system32\wininet.dll
[-] 2004-08-17 . D71F71C75B1652CF7795D9F5A8688977 . 678400 . . [6.00.2900.2180] . . c:\windows\system32\dllcache\wininet.dll

[-] 2004-08-17 . 803A54F8F8D85B0FCC01BFCF0E0FA783 . 1364992 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-17 . 803A54F8F8D85B0FCC01BFCF0E0FA783 . 1364992 . . [6.00.2900.2180] . . c:\windows\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-10-14 110592]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-08-07 573440]
"Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2006-11-29 1011712]
"ACU"="c:\program files\Atheros\ACU.exe" [2006-11-17 348249]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"RTHDCPL"="RTHDCPL.EXE" [2009-06-25 17887232]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"MaBtSh"="c:\program files\Mobile Action\Bluetooth Manager\MaBtSh.exe" [2006-02-08 24576]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-12 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9440:TCP"= 9440:TCP:btzzvvet

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [19.9.2009 20:41 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19.9.2009 20:41 20560]
R3 Ma730Pt;MA730 Bluetooth VCOM Driver;c:\windows\system32\drivers\ma730pt.sys [27.10.2009 23:50 102976]
R3 Ma730Vad;MA730 Bluetooth Audio;c:\windows\system32\drivers\Ma730Vad.sys [27.10.2009 23:50 23376]
S2 aihydcvi;Config Support;c:\windows\system32\svchost.exe -k netsvcs [17.8.2004 14:49 14336]
S2 gwtfuvxuu;Shell Helper;c:\windows\system32\svchost.exe -k netsvcs [17.8.2004 14:49 14336]
S2 xbmqza;Server Driver;c:\windows\system32\svchost.exe -k netsvcs [17.8.2004 14:49 14336]
S2 zkolv;System Task;c:\windows\system32\svchost.exe -k netsvcs [17.8.2004 14:49 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [19.9.2009 19:17 1684736]
S3 ATICDSDr;ATICDSDr;\??\e:\anička notebook\VGA_XP32_070824\BIN\atiicdxx.sys --> e:\anička notebook\VGA_XP32_070824\BIN\atiicdxx.sys [?]
S3 Ma730c;MA730 Bluetooth Core Driver;c:\windows\system32\drivers\ma730c.sys [27.10.2009 23:50 155552]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
zkolv
xbmqza
aihydcvi
gwtfuvxuu

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67b8b7b2-a66c-11de-8889-0015af26f82a}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa617254-a7a0-11de-888e-0015af26f82a}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deae6b44-f848-11de-8901-0015af26f82a}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
.
Obsah adresáře 'Naplánované úlohy'

2010-01-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://google.cz/
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Anička\Data aplikací\Mozilla\Firefox\Profiles\5l1zoz27.default\
FF - prefs.js: browser.search.selectedEngine - Seznam
FF - prefs.js: browser.startup.homepage - google.cz
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

URLSearchHooks-{95289393-33EA-4F8D-B952-483415B9C955} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-13 22:04
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aihydcvi]
"ServiceDll"="c:\windows\system32\hatun.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gwtfuvxuu]
"ServiceDll"="c:\windows\system32\hatun.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xbmqza]
"ServiceDll"="c:\windows\system32\hatun.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zkolv]
"ServiceDll"="c:\windows\system32\hatun.dll"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'explorer.exe'(2768)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\browselc.dll
c:\windows\system32\msi.dll
c:\windows\system32\credui.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\windows\system32\acs.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\wdfmgr.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\ATK0100\ATKOSD.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Microsoft Office\Office12\onenotem.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Celkový čas: 2010-02-13 22:10:56 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-13 21:10

Před spuštěním: Volných bajtů: 24 905 580 544
Po spuštění: Volných bajtů: 25 207 910 400

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 75BCFF00310F364CBEFF0055D922FD5D

[motji]

No fuj , tom říkám nadílka , hnízdečko rootkitů.

Dejte soubor otestovat na www.virustotal.com

c:\windows\system32\hatun.dll
c:\windows\system32\user32.dll
c:\windows\system32\wininet.dll
c:\windows\explorer.exe
c:\windows\system32\wuauclt.exe
c:\windows\system32\comctl32.dll
c:\windows\system32\mshtml.dll

-Do okénka zkopírujte cestu k souboru , pokud napíše, že soubor byl už testován, dejte otestovat znovu.
-Sem vložte link s výsledky.

Za chvilku Vám tu dám skript na výmaz těch šmejdíků, a pak pokračujte tím návodem ze včera

[annjo]

Ok, já jsem už stáhl az Všeho podpisu SVI a zapnula a vypnula obnovu systému...mám teda ještě testovat na virustotal.cz? nebo pokračovat daál podle návodu a stáhnout fix dowbatup.exe?

[motji]

Testovat na virustotalu .
Já jdu zatím napsat ten skript

[annjo]

ok, jdu testovat....

[annjo]

nejde mi otevřít ta stránka virustotal.com. Z googlu taky ne? co teda teď?

[motji]

Nevadí, ted provedte skript na combofix, pak by stránka mohla jít


Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

KillAll::

Collect::
c:\windows\system32\hatun.dll

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9440:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67b8b7b2-a66c-11de-8889-0015af26f82a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa617254-a7a0-11de-888e-0015af26f82a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deae6b44-f848-11de-8901-0015af26f82a}]

Driver::
aihydcvi
gwtfuvxuu
xbmqza
zkolv

Netsvc::
aihydcvi
gwtfuvxuu
xbmqza
zkolv

DDS::
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip

Firefox::
FF - ProfilePath - c:\documents and settings\Anička\Data aplikací\Mozilla\Firefox\Profiles\5l1zoz27.default\
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[annjo]

ComboFix 10-02-12.01 - Anička 13.02.2010 22:54:07.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.447.147 [GMT 1:00]
Spuštěný z: c:\documents and settings\Anička\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Anička\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1227 [VPS 091118-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

file zipped: c:\windows\system32\hatun.dll
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\hatun.dll

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AIHYDCVI
-------\Legacy_GWTFUVXUU
-------\Legacy_XBMQZA
-------\Legacy_ZKOLV
-------\Service_aihydcvi
-------\Service_gwtfuvxuu
-------\Service_xbmqza
-------\Service_zkolv


((((((((((((((((((((((((( Soubory vytvořené od 2010-01-13 do 2010-02-13 )))))))))))))))))))))))))))))))
.

2010-02-12 20:58 . 2010-02-12 20:58 -------- d-----w- C:\_OTM
2010-02-12 20:12 . 2010-02-12 20:13 -------- d-----w- c:\program files\trend micro
2010-02-12 20:12 . 2010-02-12 20:13 -------- d-----w- C:\rsit
2010-02-12 18:26 . 2010-02-12 18:59 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-28 18:18 . 2010-01-28 18:18 -------- d-----w- c:\program files\iPod
2010-01-28 18:10 . 2010-01-28 18:11 -------- d-----w- c:\program files\QuickTime
2010-01-28 16:16 . 2010-01-28 16:16 54836 ---ha-w- c:\windows\system32\mlfcache.dat
2010-01-28 16:04 . 2010-01-28 16:04 -------- d-----w- c:\program files\Safari

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-28 18:19 . 2009-09-19 19:31 -------- d-----w- c:\program files\iTunes
2010-01-28 18:18 . 2009-09-19 19:29 -------- d-----w- c:\program files\Common Files\Apple
2010-01-12 15:49 . 2009-09-19 18:46 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-12 12:51 . 2010-01-12 12:51 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-12 12:51 . 2010-01-12 12:51 -------- d-----w- c:\program files\Java
.

------- Sigcheck -------

[-] 2004-08-17 . B99E0324EBA404406C3475BBE5E2B9EA . 623104 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2004-08-17 . B99E0324EBA404406C3475BBE5E2B9EA . 623104 . . [5.82] . . c:\windows\system32\dllcache\comctl32.dll

[-] 2004-08-17 . 37E76305F95A06F5E53435ECD2C0F24E . 3081728 . . [6.00.2900.2180] . . c:\windows\system32\mshtml.dll
[-] 2004-08-17 . 37E76305F95A06F5E53435ECD2C0F24E . 3081728 . . [6.00.2900.2180] . . c:\windows\system32\dllcache\mshtml.dll

[-] 2004-08-17 . F5C4D462D3EFB869D7325B629FAFDDB2 . 576512 . . [5.1.2600.2180] . . c:\windows\system32\user32.dll
[-] 2004-08-17 . F5C4D462D3EFB869D7325B629FAFDDB2 . 576512 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\user32.dll

[-] 2004-08-17 . D71F71C75B1652CF7795D9F5A8688977 . 678400 . . [6.00.2900.2180] . . c:\windows\system32\wininet.dll
[-] 2004-08-17 . D71F71C75B1652CF7795D9F5A8688977 . 678400 . . [6.00.2900.2180] . . c:\windows\system32\dllcache\wininet.dll

[-] 2004-08-17 . 803A54F8F8D85B0FCC01BFCF0E0FA783 . 1364992 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-17 . 803A54F8F8D85B0FCC01BFCF0E0FA783 . 1364992 . . [6.00.2900.2180] . . c:\windows\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-10-14 110592]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-08-07 573440]
"Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2006-11-29 1011712]
"ACU"="c:\program files\Atheros\ACU.exe" [2006-11-17 348249]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"RTHDCPL"="RTHDCPL.EXE" [2009-06-25 17887232]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"MaBtSh"="c:\program files\Mobile Action\Bluetooth Manager\MaBtSh.exe" [2006-02-08 24576]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-12 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [19.9.2009 20:41 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19.9.2009 20:41 20560]
R3 Ma730Pt;MA730 Bluetooth VCOM Driver;c:\windows\system32\drivers\ma730pt.sys [27.10.2009 23:50 102976]
R3 Ma730Vad;MA730 Bluetooth Audio;c:\windows\system32\drivers\Ma730Vad.sys [27.10.2009 23:50 23376]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [19.9.2009 19:17 1684736]
S3 ATICDSDr;ATICDSDr;\??\e:\anička notebook\VGA_XP32_070824\BIN\atiicdxx.sys --> e:\anička notebook\VGA_XP32_070824\BIN\atiicdxx.sys [?]
S3 Ma730c;MA730 Bluetooth Core Driver;c:\windows\system32\drivers\ma730c.sys [27.10.2009 23:50 155552]
.
Obsah adresáře 'Naplánované úlohy'

2010-01-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://google.cz/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Anička\Data aplikací\Mozilla\Firefox\Profiles\5l1zoz27.default\
FF - prefs.js: browser.search.selectedEngine - Seznam
FF - prefs.js: browser.startup.homepage - google.cz

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-13 23:01
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'explorer.exe'(2264)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\browselc.dll
c:\windows\system32\msi.dll
c:\windows\system32\credui.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\windows\system32\acs.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\windows\RTHDCPL.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\ATK0100\ATKOSD.exe
c:\program files\Microsoft Office\Office12\onenotem.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Celkový čas: 2010-02-13 23:09:26 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-13 22:09
ComboFix2.txt 2010-02-13 21:10

Před spuštěním: Volných bajtů: 26 705 215 488
Po spuštění: Volných bajtů: 26 658 971 648

- - End Of File - - AFAEF16D04D5B413CEBE1CBF9FF97986


vkládám další log, jaký je další postup? Pokud už je moc pozdě, ozvu se zítra....

[motji]

Já už půjdu spát, ale Vy můžete

otestovat ty soubory na virustotalu (kromě toho prvního, ten je smazaný )
pokračovat tím postupem ze včera
vložit nový log ze Rsitu

Zítra tu budu nakukovat celý den, takže tu určitě odpověd najdete .
Už ted by měl jít počítač lépe
Dobrou noc

[annjo]

OK, díky moc, jste zlato. Samozřejmě, už teď jdou spustit wordy....zkusím to otestovat. Zítra byc htu měla být průběžně taky celý den, pokud mi nespadne net Tak ještě jednou děkuju a přeju hezké sny....