Security tool prosím o pomoc

[sherry]

ComboFix 10-02-16.03 - Owner 19.02.2010 18:37:02.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.420.1029.18.511.199 [GMT 1:00]
Spuštěný z: c:\documents and settings\Owner\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Owner\Plocha\CFScript.txt

FILE ::
"c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Reader Speed Launch.lnk"
"c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Microsoft Office.lnk"
"c:\windows\tasks\Google Software Updater.job"
"c:\windows\tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\tasks\GoogleUpdateTaskMachineUA.job"

file zipped: c:\windows\system32\drivers\lmkemfxdapukxv.sys
.
/wow section - STAGE 4
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Reader Speed Launch.lnk
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Microsoft Office.lnk
c:\program files\ICQToolbar
c:\program files\ICQToolbar\about.html
c:\program files\ICQToolbar\basis.key
c:\program files\ICQToolbar\basis.xml
c:\program files\ICQToolbar\Dlg_Res.xml
c:\program files\ICQToolbar\download.html
c:\program files\ICQToolbar\error.html
c:\program files\ICQToolbar\Games.xml
c:\program files\ICQToolbar\games_button.xml
c:\program files\ICQToolbar\google.bmp
c:\program files\ICQToolbar\icons.bmp
c:\program files\ICQToolbar\icqlogo.bmp
c:\program files\ICQToolbar\loading.html
c:\program files\ICQToolbar\logo_small.gif
c:\program files\ICQToolbar\nav.bmp
c:\program files\ICQToolbar\newversion.txt
c:\program files\ICQToolbar\options2.html
c:\program files\ICQToolbar\other.css
c:\program files\ICQToolbar\tb_buttons.xml
c:\program files\ICQToolbar\tb_games.xml
c:\program files\ICQToolbar\tb_options.xml
c:\program files\ICQToolbar\toolbar.crc
c:\program files\ICQToolbar\toolbaru.crc
c:\program files\ICQToolbar\toolbaru.dll
c:\program files\ICQToolbar\toolbaru.inf
c:\program files\ICQToolbar\version.txt
c:\windows\system32\drivers\lmkemfxdapukxv.sys
c:\windows\tasks\Google Software Updater.job
c:\windows\tasks\GoogleUpdateTaskMachineCore.job
c:\windows\tasks\GoogleUpdateTaskMachineUA.job

c:\windows\System32\wscntfy.exe . . . chybí !!

c:\windows\System32\xmlprov.dll . . . chybí !!

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_XBQKPOOMH
-------\Service_xbqkpoomh


((((((((((((((((((((((((( Soubory vytvořené od 2010-01-19 do 2010-02-19 )))))))))))))))))))))))))))))))
.

2010-02-16 17:15 . 2010-02-16 17:16 -------- d-----w- c:\program files\trend micro
2010-02-16 17:15 . 2010-02-16 17:16 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-17 23:02 . 2001-10-25 13:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2010-02-17 23:02 . 2001-10-25 13:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2010-02-16 17:17 . 2007-08-25 19:16 -------- d-----w- c:\program files\Google
2009-11-24 23:54 . 2006-09-30 12:38 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2006-09-30 12:38 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2006-09-30 12:38 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-03-31 18:44 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:49 . 2006-09-30 12:38 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2006-09-30 12:38 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2006-09-30 12:38 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2007-01-18 10:27 97480 ----a-w- c:\windows\system32\AVASTSS.scr
2008-06-17 09:35 . 2009-10-07 19:34 212992 ----a-r- c:\program files\MSP_Uninstall.exe
2007-04-04 07:24 . 2009-10-07 19:34 90112 ----a-r- c:\program files\axesstel.dll
2006-09-29 21:22 . 2006-09-28 20:06 88 --sh--r- c:\windows\system32\6C6EB9258A.sys
2006-09-29 21:23 . 2006-09-28 20:06 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2004-08-17 . 93F75FF033BAA186D08115D73BFE3D32 . 13824 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\wscntfy.exe

[-] 2004-08-17 . 9B835D4C64860B155A1701D5092EC9E4 . 129536 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\xmlprov.dll

c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2010-02-17_18.57.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-19 17:44 . 2010-02-19 17:44 16384 c:\windows\Temp\Perflib_Perfdata_458.dat
+ 2001-10-25 13:00 . 2010-02-17 23:02 39992 c:\windows\system32\perfc009.dat
- 2001-10-25 13:00 . 2009-10-26 15:29 39992 c:\windows\system32\perfc009.dat
+ 2001-10-25 13:00 . 2010-02-17 23:02 311604 c:\windows\system32\perfh009.dat
- 2001-10-25 13:00 . 2009-10-26 15:29 311604 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-07-19 57344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 315392]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 57344]
"HelperVer"="c:\windows\HelperVer.exe" [2006-04-21 36864]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-07-19 40960]
"ICQ Lite"="c:\program files\ICQLite\ICQLite.exe" [2006-07-27 3142236]
"BigDogPath323VMSnap"="c:\windows\VMSnap23.exe" [2007-01-09 212992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-12-21 113664]
HP Digital Imaging Monitor.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31.3.2008 19:44 114768]
S2 gupdate1c9862caaf3e184;Google Update Service (gupdate1c9862caaf3e184);c:\program files\Google\Update\GoogleUpdate.exe [3.2.2009 19:24 133104]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\windows\system32\drivers\adusbmdm65.sys [19.5.2006 20:01 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\windows\system32\drivers\adusbser65.sys [19.5.2006 20:39 64896]
S3 vmfilter323;323 filter service, Normal;c:\windows\system32\drivers\vmfilter323.sys [7.9.2008 16:47 476672]
S3 ZSMC326;Vimicro USB2.0 PC Camera(VC0323);c:\windows\system32\drivers\usbvm323.sys [7.9.2008 16:47 260224]
.
Obsah adresáře 'Naplánované úlohy'

2006-08-30 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8147632654.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{230D1201-7607-4CF6-A11F-9E4BF0A333E0} - {0DB13731-CEFD-43CF-A8FD-B61DCBC4D5B8} - c:\program files\Verdict Free\etnxp.dll
IE: {{2C73F784-D2DE-4422-B070-2E3332FE5744} - {0320AC26-52C8-4316-B2C4-24BB6FA73C9A} - c:\program files\Verdict Free\etnxp.dll
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\windows\WebIE.dll
DPF: {0A6112F2-F9D1-4FBF-A6EC-B67B22915873} - hxxp://www.24print.cz/activex/24printPhotoUploader.dll
DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} - hxxp://software.seznam.cz/listicka/toolbar.cab
DPF: {5F509E42-537E-482B-B66C-145BC170054C} - hxxp://sberna.fotostar.cz/snadno-vlozit-fotografie/fs/FotoStarPhotoUploader.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-19 18:45
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(564)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2464)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\SYSTEM32\GEARSec.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Celkový čas: 2010-02-19 18:50:14 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-19 17:50
ComboFix2.txt 2010-02-17 19:00

Před spuštěním: Volných bajtů: 28 130 902 016
Po spuštění: Volných bajtů: 28 049 747 968

- - End Of File - - 4A952A0B2BBE768D8A2F8C2D9BD98EA5

[Unlimited_Killer]

Super.

1) Skript do ComboFix-u

• Otevřete si Poznámkový blok [Start → Spustit → notepad → Enter].
• Do něj vkopírujte následující text:

  Kód: Vybrat vše

  Restore::
  c:\windows\System32\wscntfy.exe 
  c:\windows\System32\xmlprov.dll 
  
  Collect::
  C:\Windows\HelperVer.exe
  
  Extra::
  
  DDS::
  IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
  
  Reboot::

• Uložte tento soubor na Plochu pod jménem CFScript (koncovka .txt).
• Přetáhněte tento soubor nad ComboFix a pusťte ho.
• I tento soubor, i ComboFix musí být na Ploše!
  
• ComboFix se spustí a vykoná příkazy ze skriptu.
• Počítač bude pravděpodobně restartován.
• Po restartu na Vás vyskočí okno s logem, který mi vkopírujete sem ve formě textu.

[sherry]

Otázka naprostého laika .-) jak mám zkopírovat linky na ty testy?Spíš hlavně co to je?To jsou ty rozšiřující informce, nebo to můžu zkopírovat celé?

[sherry]

Výsledek: 0/41 (0%)
Načítám informace ze serveru...
Váš soubor čeká ve frontě na pozici: 1.
Odhadovaný čas začátku mezi 42 a 60 sekundami.
Nezavírejte toto okno dokud nebude test dokončen.
Právě testující program byl je zastaven, probíhá čekání na program.
Za chvíli bude proveden další pokus o otestování souboru.
Pokud budete čekat déle než-li pět minut odešlete Váš soubor znovu.
Váš soubor je nyní testován pomocí VirusTotal,
výsledky budou zobrazeny po dokončení.
Formátované Vytisknout výsledky
Váš soubor není platný, nebo neexistuje.
Služba je pozastavena v tuto chvíli, váš soubor čeká na otestování (pozice: ) po nespecifikovanou dobu.

Nyní čekejte na odezvu webu (automatické obnovení), nebo napište email do pole a klikněte na "vyžádat" a systém Vám zašle email s výsledky až bude test hotov.
Email:


Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.02.19 -
AhnLab-V3 5.0.0.2 2010.02.19 -
AntiVir 8.2.1.170 2010.02.19 -
Antiy-AVL 2.0.3.7 2010.02.19 -
Authentium 5.2.0.5 2010.02.19 -
Avast 4.8.1351.0 2010.02.19 -
AVG 9.0.0.730 2010.02.19 -
BitDefender 7.2 2010.02.19 -
CAT-QuickHeal 10.00 2010.02.19 -
ClamAV 0.96.0.0-git 2010.02.19 -
Comodo 3992 2010.02.19 -
DrWeb 5.0.1.12222 2010.02.19 -
eSafe 7.0.17.0 2010.02.18 -
eTrust-Vet 35.2.7313 2010.02.19 -
F-Prot 4.5.1.85 2010.02.19 -
F-Secure 9.0.15370.0 2010.02.19 -
Fortinet 4.0.14.0 2010.02.18 -
GData 19 2010.02.19 -
Ikarus T3.1.1.80.0 2010.02.19 -
Jiangmin 13.0.900 2010.02.19 -
K7AntiVirus 7.10.977 2010.02.18 -
Kaspersky 7.0.0.125 2010.02.17 -
McAfee 5897 2010.02.19 -
McAfee+Artemis 5897 2010.02.19 -
McAfee-GW-Edition 6.8.5 2010.02.19 -
Microsoft 1.5406 2010.02.18 -
NOD32 4881 2010.02.19 -
Norman 6.04.08 2010.02.19 -
nProtect 2009.1.8.0 2010.02.19 -
Panda 10.0.2.2 2010.02.19 -
PCTools 7.0.3.5 2010.02.19 -
Prevx 3.0 2010.02.19 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.19 -
Sunbelt 5686 2010.02.19 -
Symantec 20091.2.0.41 2010.02.19 -
TheHacker 6.5.1.5.201 2010.02.19 -
TrendMicro 9.120.0.1004 2010.02.19 -
VBA32 3.12.12.2 2010.02.19 -
ViRobot 2010.2.19.2194 2010.02.19 -
VirusBuster 5.0.27.0 2010.02.19 -
Rozšiřující informace
File size: 212992 bytes
MD5...: be8f24372f1b9f248ffe4585f03a01e8
SHA1..: a8ae7a25857777df73f110b74c1ccfd301af0624
SHA256: 1df5ed3da31a4a4411564ce1b5b01f11054aea8695a95cc49414e730dd5edf41
ssdeep: 3072:McYtAnuLwqSHsybb6H2546l+HNFJcspCJK8ftq1WMaD:ymuLwqSMqeGl+HN
FIJK9W

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xffb9
timedatestamp.....: 0x4857857a (Tue Jun 17 09:35:54 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21e16 0x22000 6.66 3461c12cac6991abd117641966b0c19e
.rdata 0x23000 0x83aa 0x9000 4.72 1b40618673fbe02f4c77a89c4e58179a
.data 0x2c000 0x5a7c 0x2000 3.85 0705cccbb28acc740aead81d22e1f075
.rsrc 0x32000 0x5630 0x6000 3.86 d1f4b1cc1b82a742433e79b5f8df0f88

( 10 imports )
> Axesstel.dll: -, -, MSP_DeleteProgramUninstallRegistry
> KERNEL32.dll: RtlUnwind, HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, ExitProcess, RaiseException, HeapSize, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, SetHandleCount, GetStdHandle, GetFileType, VirtualFree, HeapDestroy, HeapCreate, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, SetStdHandle, LCMapStringA, SetErrorMode, GetStringTypeA, GetStringTypeW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetSystemInfo, GetProcAddress, GetModuleHandleA, GetVersionExA, RemoveDirectoryA, MoveFileExA, GetShortPathNameA, GetWindowsDirectoryA, InterlockedExchange, MultiByteToWideChar, WideCharToMultiByte, GetLastError, GetVersion, CompareStringA, lstrlenA, GlobalDeleteAtom, FreeLibrary, GlobalAlloc, lstrcmpA, GlobalLock, SizeofResource, LockResource, LoadResource, FindResourceA, LoadLibraryA, GetLocaleInfoA, EnumResourceLanguagesA, GetModuleFileNameA, ConvertDefaultLocale, GetCurrentThreadId, GetCurrentThread, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, SetEndOfFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, DeleteFileA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalFlags, WritePrivateProfileStringA, FormatMessageA, LocalFree, MulDiv, InterlockedDecrement, GetModuleFileNameW, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, GlobalUnlock, CloseHandle, GlobalFree, FreeResource, GetCurrentProcessId, SetLastError, GlobalAddAtomA, LCMapStringW
> USER32.dll: GetSysColorBrush, LoadCursorA, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, UnhookWindowsHookEx, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, GetSubMenu, GetMenuItemID, GetMenuItemCount, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, GetSystemMetrics, DrawIcon, SendMessageA, IsIconic, GetClientRect, LoadIconA, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog, GetWindowThreadProcessId, UnregisterClassA, DestroyMenu, EnableWindow, PostQuitMessage, PostMessageA, CheckMenuItem, EnableMenuItem, GetMenuState, ModifyMenuA, GetParent, GetFocus, LoadBitmapA, GetMenuCheckMarkDimensions, SetMenuItemBitmaps, ValidateRect, GetCursorPos, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageA, GetMessageTime
> GDI32.dll: SetMapMode, DeleteObject, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, SelectObject, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, GetDeviceCaps, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, SetWindowExtEx, CreateBitmap
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegDeleteKeyA, RegSetValueExA, RegCreateKeyExA, RegQueryValueA, RegOpenKeyA, RegEnumKeyA, RegCloseKey
> SHELL32.dll: SHGetSpecialFolderPathA
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -
> SETUPAPI.dll: SetupPromptReboot

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
sigcheck:
publisher....: n/a
copyright....: Copyright (C) 2007
product......: MSP_Uninstall Application
description..: MSP_Uninstall MFC Application
original name: MSP_Uninstall.EXE
internal name: MSP_Uninstall
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

[sherry]

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.02.19 -
AhnLab-V3 5.0.0.2 2010.02.19 -
AntiVir 8.2.1.170 2010.02.19 -
Antiy-AVL 2.0.3.7 2010.02.19 -
Authentium 5.2.0.5 2010.02.19 -
Avast 4.8.1351.0 2010.02.19 -
AVG 9.0.0.730 2010.02.19 -
BitDefender 7.2 2010.02.19 -
CAT-QuickHeal 10.00 2010.02.19 -
ClamAV 0.96.0.0-git 2010.02.19 -
Comodo 3992 2010.02.19 -
DrWeb 5.0.1.12222 2010.02.19 -
eSafe 7.0.17.0 2010.02.18 -
eTrust-Vet 35.2.7313 2010.02.19 -
F-Prot 4.5.1.85 2010.02.19 -
F-Secure 9.0.15370.0 2010.02.19 -
Fortinet 4.0.14.0 2010.02.18 -
GData 19 2010.02.19 -
Ikarus T3.1.1.80.0 2010.02.19 -
Jiangmin 13.0.900 2010.02.19 -
K7AntiVirus 7.10.977 2010.02.18 -
Kaspersky 7.0.0.125 2010.02.17 -
McAfee 5897 2010.02.19 -
McAfee+Artemis 5897 2010.02.19 -
McAfee-GW-Edition 6.8.5 2010.02.19 -
Microsoft 1.5406 2010.02.18 -
NOD32 4881 2010.02.19 -
Norman 6.04.08 2010.02.19 -
nProtect 2009.1.8.0 2010.02.19 -
Panda 10.0.2.2 2010.02.19 -
PCTools 7.0.3.5 2010.02.19 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.19 -
Sunbelt 5686 2010.02.19 -
Symantec 20091.2.0.41 2010.02.19 -
TheHacker 6.5.1.5.201 2010.02.19 -
TrendMicro 9.120.0.1004 2010.02.19 -
VBA32 3.12.12.2 2010.02.19 -
ViRobot 2010.2.19.2194 2010.02.19 -
VirusBuster 5.0.27.0 2010.02.19 -
Rozšiřující informace
File size: 88 bytes
MD5...: 85fd449fa4496f5fbb64c3f54ceff6e1
SHA1..: 8bca631a1eec335c813d919cf46707efc4d8352b
SHA256: 5cbd5acc18ec17ad2c950cececb9f1d02c19c755da810b5e56d890327e2ef6e7
ssdeep: 3:hl/X3P/tmNUn:bXMNU

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

[Unlimited_Killer]

Stačilo sem vkopírovat odkaz z adresního řádku prohlížeče.

[sherry]

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.02.19 Riskware.AdWare.Win32.EShoper!IK
AhnLab-V3 5.0.0.2 2010.02.19 Win-Trojan/Xema.variant
AntiVir 8.2.1.170 2010.02.19 ADSPY/EShoper.C
Antiy-AVL 2.0.3.7 2010.02.19 -
Authentium 5.2.0.5 2010.02.19 -
Avast 4.8.1351.0 2010.02.19 -
AVG 9.0.0.730 2010.02.19 Generic3.XAJ
BitDefender 7.2 2010.02.19 Adware.Generic.52958
CAT-QuickHeal 10.00 2010.02.19 Trojan.Agent.ATV
ClamAV 0.96.0.0-git 2010.02.19 -
Comodo 3992 2010.02.19 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.02.19 -
eSafe 7.0.17.0 2010.02.18 -
eTrust-Vet 35.2.7313 2010.02.19 -
F-Prot 4.5.1.85 2010.02.19 -
F-Secure 9.0.15370.0 2010.02.19 Adware.Generic.52958
Fortinet 4.0.14.0 2010.02.18 Adware/EShoper
GData 19 2010.02.19 Adware.Generic.52958
Ikarus T3.1.1.80.0 2010.02.19 not-a-virus:AdWare.Win32.EShoper
Jiangmin 13.0.900 2010.02.19 -
K7AntiVirus 7.10.977 2010.02.18 Non-Virus:
Kaspersky 7.0.0.125 2010.02.17 not-a-virus:AdWare.Win32.EShoper.c
McAfee 5897 2010.02.19 potentially unwanted program Generic PUP
McAfee+Artemis 5897 2010.02.19 potentially unwanted program Generic PUP
McAfee-GW-Edition 6.8.5 2010.02.19 Heuristic.BehavesLike.Win32.Downloader.L
Microsoft 1.5406 2010.02.18 -
NOD32 4881 2010.02.19 -
Norman 6.04.08 2010.02.19 -
nProtect 2009.1.8.0 2010.02.19 -
Panda 10.0.2.2 2010.02.19 -
PCTools 7.0.3.5 2010.02.19 Adware.Gen
Prevx 3.0 2010.02.19 Medium Risk Malware
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.19 -
Sunbelt 5686 2010.02.19 AdWare.Win32.EShoper.c
Symantec 20091.2.0.41 2010.02.19 Adware.Gen
TheHacker 6.5.1.5.201 2010.02.19 Adware/EShoper.c
TrendMicro 9.120.0.1004 2010.02.19 -
VBA32 3.12.12.2 2010.02.19 AdWare.Win32.EShoper.c
ViRobot 2010.2.19.2194 2010.02.19 -
VirusBuster 5.0.27.0 2010.02.19 Adware.EShoper.I
Rozšiřující informace
File size: 36864 bytes
MD5...: 0dd9fddb222a97d659b9a220464db485
SHA1..: eb96350df8a9baf485fc298b4b691b059f3f357b
SHA256: fb50878021c28d4e8fd00cd0056924ece454324e728efef75e7b543b4be05afb
ssdeep: 384:llyIYOElsMxpokV4aEWpY2cGjc+Gj1ERiiyYzBg6cE994:lVhElXjGJ0Y521
RiiTlg1EE

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3d02
timedatestamp.....: 0x4448e75d (Fri Apr 21 14:08:29 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3492 0x4000 5.36 493400fb5b87091afdb68269762e3240
.rdata 0x5000 0x13f6 0x2000 3.23 0b10f3a04ca4dd22612ba34aa8e34ebc
.data 0x7000 0x494 0x1000 1.67 21988d9e36abb5f75b57da6e0d7695f0
.rsrc 0x8000 0xb70 0x1000 2.57 6751356e022f5b17302e78ef579de074

( 6 imports )
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: _initterm, __setusermatherr, __getmainargs, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _XcptFilter, _exit, __1type_info@@UAE@XZ, _onexit, __dllonexit, _mbscmp, time, srand, _acmdln, rand, _setmbcp, __CxxFrameHandler, exit, atof, _ftol
> KERNEL32.dll: lstrlenA, CopyFileA, Sleep, GetCommandLineA, GetModuleHandleA, GetStartupInfoA, GetSystemDirectoryA, DeleteFileA
> USER32.dll: EnableWindow, FindWindowA, IsIconic, SendMessageA, GetSystemMetrics, GetClientRect, DrawIcon, LoadIconA
> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, GetUserNameA
> SHELL32.dll: ShellExecuteA

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....:
copyright....: Copyright (C) 2003
product......: version Application
description..: version MFC Application
original name: version.EXE
internal name: version
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

trid..: Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
<a href='http://info.prevx.com/aboutprogramtext. ... 00C75DD4D0' target='_blank'>http://info.prevx.com/aboutprogramtext. ... 75DD4D0</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx ... 20464db485' target='_blank'>http://www.threatexpert.com/report.aspx ... 64db485</a>

[Unlimited_Killer]

Není proveďte skript z tohoto příspěvku.

[sherry]

ComboFix 10-02-16.03 - Owner 19.02.2010 19:56:08.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.420.1029.18.511.247 [GMT 1:00]
Spuštěný z: c:\documents and settings\Owner\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Owner\Plocha\CFScript.txt
.
/wow section - STAGE 4
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\System32\wscntfy.exe . . . je infikován!!

c:\windows\System32\xmlprov.dll . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-19 do 2010-02-19 )))))))))))))))))))))))))))))))
.

2010-02-16 17:15 . 2010-02-16 17:16 -------- d-----w- c:\program files\trend micro
2010-02-16 17:15 . 2010-02-16 17:16 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-17 23:02 . 2001-10-25 13:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2010-02-17 23:02 . 2001-10-25 13:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2010-02-16 17:17 . 2007-08-25 19:16 -------- d-----w- c:\program files\Google
2009-11-24 23:54 . 2006-09-30 12:38 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2006-09-30 12:38 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2006-09-30 12:38 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-03-31 18:44 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:49 . 2006-09-30 12:38 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2006-09-30 12:38 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2006-09-30 12:38 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2007-01-18 10:27 97480 ----a-w- c:\windows\system32\AVASTSS.scr
2008-06-17 09:35 . 2009-10-07 19:34 212992 ----a-r- c:\program files\MSP_Uninstall.exe
2007-04-04 07:24 . 2009-10-07 19:34 90112 ----a-r- c:\program files\axesstel.dll
2006-09-29 21:22 . 2006-09-28 20:06 88 --sh--r- c:\windows\system32\6C6EB9258A.sys
2006-09-29 21:23 . 2006-09-28 20:06 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2004-08-17 . 93F75FF033BAA186D08115D73BFE3D32 . 13824 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\wscntfy.exe

[-] 2004-08-17 . 9B835D4C64860B155A1701D5092EC9E4 . 129536 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\xmlprov.dll

c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2010-02-17_18.57.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-19 19:02 . 2010-02-19 19:02 16384 c:\windows\Temp\Perflib_Perfdata_450.dat
+ 2001-10-25 13:00 . 2010-02-17 23:02 39992 c:\windows\system32\perfc009.dat
- 2001-10-25 13:00 . 2009-10-26 15:29 39992 c:\windows\system32\perfc009.dat
+ 2001-10-25 13:00 . 2010-02-17 23:02 311604 c:\windows\system32\perfh009.dat
- 2001-10-25 13:00 . 2009-10-26 15:29 311604 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-07-19 57344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 315392]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 57344]
"HelperVer"="c:\windows\HelperVer.exe" [2006-04-21 36864]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-07-19 40960]
"ICQ Lite"="c:\program files\ICQLite\ICQLite.exe" [2006-07-27 3142236]
"BigDogPath323VMSnap"="c:\windows\VMSnap23.exe" [2007-01-09 212992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-12-21 113664]
HP Digital Imaging Monitor.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31.3.2008 19:44 114768]
S2 gupdate1c9862caaf3e184;Google Update Service (gupdate1c9862caaf3e184);c:\program files\Google\Update\GoogleUpdate.exe [3.2.2009 19:24 133104]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\windows\system32\drivers\adusbmdm65.sys [19.5.2006 20:01 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\windows\system32\drivers\adusbser65.sys [19.5.2006 20:39 64896]
S3 vmfilter323;323 filter service, Normal;c:\windows\system32\drivers\vmfilter323.sys [7.9.2008 16:47 476672]
S3 ZSMC326;Vimicro USB2.0 PC Camera(VC0323);c:\windows\system32\drivers\usbvm323.sys [7.9.2008 16:47 260224]
.
Obsah adresáře 'Naplánované úlohy'

2006-08-30 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8147632654.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]

2010-02-19 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-03 19:17]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{230D1201-7607-4CF6-A11F-9E4BF0A333E0} - {0DB13731-CEFD-43CF-A8FD-B61DCBC4D5B8} - c:\program files\Verdict Free\etnxp.dll
IE: {{2C73F784-D2DE-4422-B070-2E3332FE5744} - {0320AC26-52C8-4316-B2C4-24BB6FA73C9A} - c:\program files\Verdict Free\etnxp.dll
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\windows\WebIE.dll
DPF: {0A6112F2-F9D1-4FBF-A6EC-B67B22915873} - hxxp://www.24print.cz/activex/24printPhotoUploader.dll
DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} - hxxp://software.seznam.cz/listicka/toolbar.cab
DPF: {5F509E42-537E-482B-B66C-145BC170054C} - hxxp://sberna.fotostar.cz/snadno-vlozit-fotografie/fs/FotoStarPhotoUploader.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-19 20:03
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(564)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(1796)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\SYSTEM32\GEARSec.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Celkový čas: 2010-02-19 20:07:33 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-19 19:07
ComboFix2.txt 2010-02-19 17:50
ComboFix3.txt 2010-02-17 19:00

Před spuštěním: Volných bajtů: 28 065 816 576
Po spuštění: Volných bajtů: 28 035 375 104

- - End Of File - - 3321307EEC4AA05974FDF44692C7D394

[sherry]

ComboFix 10-02-16.03 - Owner 19.02.2010 20:17:51.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.420.1029.18.511.280 [GMT 1:00]
Spuštěný z: c:\documents and settings\Owner\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Owner\Plocha\CFScript.txt

file zipped: c:\windows\HelperVer.exe
.
/wow section - STAGE 4
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\HelperVer.exe

c:\windows\System32\wscntfy.exe . . . je infikován!!

c:\windows\System32\xmlprov.dll . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-19 do 2010-02-19 )))))))))))))))))))))))))))))))
.

2010-02-16 17:15 . 2010-02-16 17:16 -------- d-----w- c:\program files\trend micro
2010-02-16 17:15 . 2010-02-16 17:16 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-17 23:02 . 2001-10-25 13:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2010-02-17 23:02 . 2001-10-25 13:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2010-02-16 17:17 . 2007-08-25 19:16 -------- d-----w- c:\program files\Google
2009-11-24 23:54 . 2006-09-30 12:38 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2006-09-30 12:38 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2006-09-30 12:38 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-03-31 18:44 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:49 . 2006-09-30 12:38 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2006-09-30 12:38 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2006-09-30 12:38 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2007-01-18 10:27 97480 ----a-w- c:\windows\system32\AVASTSS.scr
2008-06-17 09:35 . 2009-10-07 19:34 212992 ----a-r- c:\program files\MSP_Uninstall.exe
2007-04-04 07:24 . 2009-10-07 19:34 90112 ----a-r- c:\program files\axesstel.dll
2006-09-29 21:22 . 2006-09-28 20:06 88 --sh--r- c:\windows\system32\6C6EB9258A.sys
2006-09-29 21:23 . 2006-09-28 20:06 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2004-08-17 . 93F75FF033BAA186D08115D73BFE3D32 . 13824 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\wscntfy.exe

[-] 2004-08-17 . 9B835D4C64860B155A1701D5092EC9E4 . 129536 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\xmlprov.dll

c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2010-02-17_18.57.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-19 19:24 . 2010-02-19 19:24 16384 c:\windows\Temp\Perflib_Perfdata_44c.dat
+ 2001-10-25 13:00 . 2010-02-17 23:02 39992 c:\windows\system32\perfc009.dat
- 2001-10-25 13:00 . 2009-10-26 15:29 39992 c:\windows\system32\perfc009.dat
+ 2001-10-25 13:00 . 2010-02-17 23:02 311604 c:\windows\system32\perfh009.dat
- 2001-10-25 13:00 . 2009-10-26 15:29 311604 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-07-19 57344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 315392]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 57344]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-07-19 40960]
"ICQ Lite"="c:\program files\ICQLite\ICQLite.exe" [2006-07-27 3142236]
"BigDogPath323VMSnap"="c:\windows\VMSnap23.exe" [2007-01-09 212992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-12-21 113664]
HP Digital Imaging Monitor.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31.3.2008 19:44 114768]
S2 gupdate1c9862caaf3e184;Google Update Service (gupdate1c9862caaf3e184);c:\program files\Google\Update\GoogleUpdate.exe [3.2.2009 19:24 133104]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\windows\system32\drivers\adusbmdm65.sys [19.5.2006 20:01 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\windows\system32\drivers\adusbser65.sys [19.5.2006 20:39 64896]
S3 vmfilter323;323 filter service, Normal;c:\windows\system32\drivers\vmfilter323.sys [7.9.2008 16:47 476672]
S3 ZSMC326;Vimicro USB2.0 PC Camera(VC0323);c:\windows\system32\drivers\usbvm323.sys [7.9.2008 16:47 260224]
.
Obsah adresáře 'Naplánované úlohy'

2006-08-30 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8147632654.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]

2010-02-19 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-03 19:17]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{230D1201-7607-4CF6-A11F-9E4BF0A333E0} - {0DB13731-CEFD-43CF-A8FD-B61DCBC4D5B8} - c:\program files\Verdict Free\etnxp.dll
IE: {{2C73F784-D2DE-4422-B070-2E3332FE5744} - {0320AC26-52C8-4316-B2C4-24BB6FA73C9A} - c:\program files\Verdict Free\etnxp.dll
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\windows\WebIE.dll
DPF: {0A6112F2-F9D1-4FBF-A6EC-B67B22915873} - hxxp://www.24print.cz/activex/24printPhotoUploader.dll
DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} - hxxp://software.seznam.cz/listicka/toolbar.cab
DPF: {5F509E42-537E-482B-B66C-145BC170054C} - hxxp://sberna.fotostar.cz/snadno-vlozit-fotografie/fs/FotoStarPhotoUploader.dll
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKLM-Run-HelperVer - c:\windows\HelperVer.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-19 20:24
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(564)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2492)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\SYSTEM32\GEARSec.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Celkový čas: 2010-02-19 20:29:16 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-19 19:29
ComboFix2.txt 2010-02-19 19:07
ComboFix3.txt 2010-02-19 17:50
ComboFix4.txt 2010-02-17 19:00

Před spuštěním: Volných bajtů: 28 041 961 472
Po spuštění: Volných bajtů: 28 011 446 272

- - End Of File - - 0A744519526AEBC0B90645ABD290482F

[Unlimited_Killer]

Pokračujeme.

1) Stažení souborů

• Stáhněte xmlprov.dll a wscntfy.exe.
• Oba je uložte přímo na disk C:.
• Využijeme je v bodě číslo 2.

2) Skript do ComboFix-u

• Otevřete si Poznámkový blok [Start → Spustit → notepad → Enter].
• Do něj vkopírujte následující text:

  Kód: Vybrat vše

  KillAll::
  
  FCopy::
  C:\wscntfy.exe | c:\windows\System32\wscntfy.exe
  C:\xmlprov.dll | c:\windows\System32\xmlprov.dll 
  
  File::
  c:\windows\Tasks\Google Software Updater.job
  
  DDS::
  IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
  
  Reboot::

• Uložte tento soubor na Plochu pod jménem CFScript (koncovka .txt).
• Přetáhněte tento soubor nad ComboFix a pusťte ho.
• I tento soubor, i ComboFix musí být na Ploše!
  
• ComboFix se spustí a vykoná příkazy ze skriptu.
• Počítač bude pravděpodobně restartován.
• Po restartu na Vás vyskočí okno s logem, který mi vkopírujete sem ve formě textu.

[sherry]

ComboFix 10-02-16.03 - Owner 19.02.2010 21:52:03.5.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.420.1029.18.511.273 [GMT 1:00]
Spuštěný z: c:\documents and settings\Owner\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Owner\Plocha\CFScript.txt

FILE ::
"c:\windows\Tasks\Google Software Updater.job"
.
/wow section - STAGE 4
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\Google Software Updater.job

.
--------------- FCopy ---------------

c:\wscntfy.exe --> c:\windows\System32\wscntfy.exe
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-19 do 2010-02-19 )))))))))))))))))))))))))))))))
.

2010-02-19 20:52 . 2010-02-19 20:47 13824 ----a-w- c:\windows\system32\wscntfy.exe
2010-02-19 20:47 . 2010-02-19 20:47 13824 ------w- C:\wscntfy.exe
2010-02-19 20:46 . 2010-02-19 20:46 4004928 ----a-w- C:\cbaffregistrybooster.exe
2010-02-16 17:15 . 2010-02-16 17:16 -------- d-----w- c:\program files\trend micro
2010-02-16 17:15 . 2010-02-16 17:16 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-17 23:02 . 2001-10-25 13:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2010-02-17 23:02 . 2001-10-25 13:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2010-02-16 17:17 . 2007-08-25 19:16 -------- d-----w- c:\program files\Google
2009-11-24 23:54 . 2006-09-30 12:38 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2006-09-30 12:38 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2006-09-30 12:38 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-03-31 18:44 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:49 . 2006-09-30 12:38 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2006-09-30 12:38 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2006-09-30 12:38 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2007-01-18 10:27 97480 ----a-w- c:\windows\system32\AVASTSS.scr
2008-06-17 09:35 . 2009-10-07 19:34 212992 ----a-r- c:\program files\MSP_Uninstall.exe
2007-04-04 07:24 . 2009-10-07 19:34 90112 ----a-r- c:\program files\axesstel.dll
2006-09-29 21:22 . 2006-09-28 20:06 88 --sh--r- c:\windows\system32\6C6EB9258A.sys
2006-09-29 21:23 . 2006-09-28 20:06 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2010-02-19 . 278A14BEDEF58687EAF8BEC056A78D8B . 13824 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe
[-] 2004-08-17 . 93F75FF033BAA186D08115D73BFE3D32 . 13824 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\wscntfy.exe

[-] 2004-08-17 . 9B835D4C64860B155A1701D5092EC9E4 . 129536 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\xmlprov.dll

c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2010-02-17_18.57.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-19 20:58 . 2010-02-19 20:58 16384 c:\windows\Temp\Perflib_Perfdata_45c.dat
+ 2001-10-25 13:00 . 2010-02-17 23:02 39992 c:\windows\system32\perfc009.dat
- 2001-10-25 13:00 . 2009-10-26 15:29 39992 c:\windows\system32\perfc009.dat
+ 2001-10-25 13:00 . 2010-02-17 23:02 311604 c:\windows\system32\perfh009.dat
- 2001-10-25 13:00 . 2009-10-26 15:29 311604 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-07-19 57344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 315392]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 57344]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-07-19 40960]
"ICQ Lite"="c:\program files\ICQLite\ICQLite.exe" [2006-07-27 3142236]
"BigDogPath323VMSnap"="c:\windows\VMSnap23.exe" [2007-01-09 212992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-12-21 113664]
HP Digital Imaging Monitor.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31.3.2008 19:44 114768]
S2 gupdate1c9862caaf3e184;Google Update Service (gupdate1c9862caaf3e184);c:\program files\Google\Update\GoogleUpdate.exe [3.2.2009 19:24 133104]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\windows\system32\drivers\adusbmdm65.sys [19.5.2006 20:01 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\windows\system32\drivers\adusbser65.sys [19.5.2006 20:39 64896]
S3 vmfilter323;323 filter service, Normal;c:\windows\system32\drivers\vmfilter323.sys [7.9.2008 16:47 476672]
S3 ZSMC326;Vimicro USB2.0 PC Camera(VC0323);c:\windows\system32\drivers\usbvm323.sys [7.9.2008 16:47 260224]
.
Obsah adresáře 'Naplánované úlohy'

2006-08-30 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8147632654.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{230D1201-7607-4CF6-A11F-9E4BF0A333E0} - {0DB13731-CEFD-43CF-A8FD-B61DCBC4D5B8} - c:\program files\Verdict Free\etnxp.dll
IE: {{2C73F784-D2DE-4422-B070-2E3332FE5744} - {0320AC26-52C8-4316-B2C4-24BB6FA73C9A} - c:\program files\Verdict Free\etnxp.dll
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\windows\WebIE.dll
DPF: {0A6112F2-F9D1-4FBF-A6EC-B67B22915873} - hxxp://www.24print.cz/activex/24printPhotoUploader.dll
DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} - hxxp://software.seznam.cz/listicka/toolbar.cab
DPF: {5F509E42-537E-482B-B66C-145BC170054C} - hxxp://sberna.fotostar.cz/snadno-vlozit-fotografie/fs/FotoStarPhotoUploader.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-19 21:59
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(564)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2428)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\SYSTEM32\GEARSec.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Celkový čas: 2010-02-19 22:03:28 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-19 21:03
ComboFix2.txt 2010-02-19 19:29
ComboFix3.txt 2010-02-19 19:07
ComboFix4.txt 2010-02-19 17:50
ComboFix5.txt 2010-02-19 20:51

Před spuštěním: Volných bajtů: 28 012 625 920
Po spuštění: Volných bajtů: 27 982 823 424

- - End Of File - - 01860F3F1DA09CC7A9784DD98908FF1B

[Unlimited_Killer]

Ještě je tam jeden chybějící soubor, nejdříve ale zjistíme legitimnost jeho náhrady.

1) VirusTotal

• Otestujte na VirusTotal soubory:

  Kód: Vybrat vše

  c:\windows\system32\wscntfy.exe
  c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\xmlprov.dll
  %SystemRoot%\web\related.htm

• Jednoduše tam vkopírujete cesty, co jsem napsal do code.
• Jestliže Vám to napíše, že soubor byl již testován, nechte ho otestovat znovu.
• Poté jsem vložíte linky (odkazy) na jednotlivé testy.

[sherry]

http://www.virustotal.com/cs/analisis/b ... 2666566597
0 bytes size received / Se ha recibido un archivo vacio
U toho třetího testu mi to nešlo a napsalo....viz o řádek výš

[Unlimited_Killer]

U toho prvního jste špatně vložila odkaz, zkuste to znovu - až projde celý test, vložte mi sem teprve odkaz z adresního řádku prohlížeče.