Neodstranitelné potvory

[pitimir]

Nic sa nestane, ja ti do PC nevidim, vidiet nebudem a ani nechcem. Aspon pokial sa bavime v rovine vyssej ako sa tyka odstranenia infikcie. Ak ti to vadi, mozes potom ten screen pokojne zmazat (editujes prispevok, napises tam nieco v zmysle, ze bol odtsraneny obrazok a bude to).

Mohol by si spravit este jeden screenshot? Tentokrat aby na nom bol zachyteny moment toho vyskakujuceho okna. Je to mozne?

[Jirous.Jirka]

Jestli je to dobře, tak tady je jeden.

[Jirous.Jirka]

Tady je další. Takže i při takové práci na pc naskakují tyto okna. Jde to odstranit, aby nevyskakovala? Už mě to docela štve.

[pitimir]

OK, skusit to mozme:

1) Stiahni ComboFix, najlepsie na plochu. Vypni vsetky otvorene aplikacie, ako aj rezidenty antiviru, antispywaru a firewall. Spust program cez ucet s administratorskymi pravami a postupuj podla instrukcii. Cely sken bude trvat cca 10 minut. Pocas neho moze byt PC restartovane. Log, ktory ComboFix vytvori, najdes na adrese C:\ComboFix.txt
Ten vloz sem.

Pozor: Kym ComboFix nevytvori log, na nic neklikat, nic nestlacat !!


2) Stiahni RootRepeal. Spustis program, kliknes na "Report" -> "Scan" a zafajknes vsetky polozky. Stlac "OK" a spusti sa scan. Po jeho dokonceni klik na "Save Report" a vzniknuty log skopiruj sem.

[Jirous.Jirka]

Posílám, co mě to vytvořilo.

ComboFix 09-05-08.03 - Vlastimil Palla 09.05.2009 9:29.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.247.79 [GMT 2:00]
Spuštěný z: c:\documents and settings\Vlastimil Palla\Plocha\ComboFix.exe
AV: Eset NOD32 Antivirus 2.0 *On-access scanning enabled* (Updated)
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-04-09 do 2009-05-09 )))))))))))))))))))))))))))))))
.

2011-06-18 14:58 . 2008-10-16 13:08 34328 -c--a-w c:\windows\system32\dllcache\wups.dll
2011-06-18 14:58 . 2008-10-16 13:08 34328 ----a-w c:\windows\system32\wups.dll
2011-06-18 14:43 . 2011-06-18 14:42 114688 ----a-w c:\windows\system32\nms32.dll
2011-06-18 14:43 . 2011-06-18 14:42 245760 ----a-w c:\windows\system32\imon.dll
2011-06-18 14:43 . 2011-06-18 14:42 300048 ----a-w c:\windows\system32\drivers\amon.sys
2011-06-18 14:42 . 2008-02-09 04:27 -------- d-----w c:\program files\ESET
2009-05-08 11:44 . 2009-05-08 11:44 -------- d-----w C:\_OTMoveIt
2009-05-08 08:21 . 2009-05-08 08:22 -------- d-----w C:\rsit
2009-04-26 16:04 . 2009-04-26 16:04 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-04-26 10:50 . 2009-04-26 10:50 -------- d-----w c:\program files\Media Access Startup
2009-04-26 10:49 . 2009-04-26 10:49 -------- d-----w c:\program files\Nice Prosper
2009-04-26 10:49 . 2009-04-26 10:49 -------- d-----w c:\program files\Internet Saving Optimizer
2009-04-26 10:48 . 2009-04-26 10:48 -------- d-----w c:\program files\DoubleD
2009-04-23 19:51 . 2009-04-23 19:51 0 ----a-w c:\windows\nsreg.dat
2009-04-22 11:58 . 2009-04-22 11:58 -------- d-----w c:\windows\Sun
2009-04-21 16:37 . 2009-04-26 16:04 -------- d-----w c:\program files\SUPERAntiSpyware
2009-04-15 18:02 . 2009-04-15 18:02 -------- d-----w c:\program files\CCleaner
2009-04-15 17:14 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 17:14 . 2009-03-06 14:23 284160 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 17:14 . 2009-02-09 11:25 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 17:14 . 2009-02-09 10:56 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 17:14 . 2009-02-09 10:56 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 17:14 . 2009-02-09 10:56 684032 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 17:14 . 2009-02-09 10:56 728064 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 17:14 . 2009-02-09 10:56 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 17:14 . 2009-02-09 10:56 709632 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 17:13 . 2008-04-21 21:15 216576 -c----w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-02 11:13 . 2006-08-13 20:38 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-04-18 17:27 . 2009-03-18 15:31 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-15 18:02 . 2001-10-25 14:00 49636 ----a-w c:\windows\system32\perfc005.dat
2009-04-15 18:02 . 2001-10-25 14:00 316120 ----a-w c:\windows\system32\perfh005.dat
2009-04-11 10:18 . 2008-02-25 17:24 -------- d-----w c:\program files\Windows Media Connect 2
2009-04-09 17:15 . 2008-05-17 08:46 -------- d-----w c:\program files\Azureus
2009-04-06 13:32 . 2009-03-18 15:31 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-03-18 15:31 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-30 14:44 . 2009-03-30 13:39 -------- d-----w c:\program files\CIGLER SOFTWARE
2009-03-30 14:16 . 2008-10-14 19:55 -------- d-----w c:\program files\RegCleaner
2009-03-29 11:07 . 2009-03-29 11:07 626688 ----a-w c:\windows\system32\msvcr80.dll
2009-03-29 11:07 . 2009-03-29 11:07 548864 ----a-w c:\windows\system32\msvcp80.dll
2009-03-29 11:07 . 2009-03-29 11:07 28672 ----a-w c:\windows\system32\eEmpty.exe
2009-03-11 16:00 . 2008-10-20 15:21 -------- d-----w c:\program files\ICQ6Toolbar
2009-03-10 18:41 . 2009-03-10 18:27 -------- d-----w c:\program files\ICQ6.5
2009-03-10 18:34 . 2008-10-20 15:17 -------- d-----w c:\program files\ICQ6
2009-03-06 14:23 . 2002-09-20 18:04 284160 ----a-w c:\windows\system32\pdh.dll
2009-02-20 08:12 . 2002-09-20 18:05 667136 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:12 . 2005-06-18 13:52 81920 ------w c:\windows\system32\ieencode.dll
2009-02-10 17:09 . 2002-09-20 17:12 2068224 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 14:07 . 2002-09-20 17:41 1846784 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:26 . 2002-09-20 17:12 2191232 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:25 . 2001-10-25 14:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:56 . 2002-09-20 18:04 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:56 . 2002-09-20 18:04 728064 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:56 . 2002-09-20 18:03 684032 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:56 . 2002-09-20 18:03 709632 ----a-w c:\windows\system32\ntdll.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CursorXP"="c:\program files\CursorXP\CursorXP.exe" [2002-03-21 67584]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-09-23 21755688]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-12-14 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-12-14 118784]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2005-01-01 847872]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-02-09 65024]
"EssSpkPhone"="essspk.exe" - c:\windows\essspk.exe [2001-10-19 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 09:05 356352 ----a-w c:\program files\SUPERAntiSpyware\SASWINLO.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave2"= serwvdrv.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Azureus\\Azureus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [15.1.2009 16:17 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [15.1.2009 16:17 55024]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [29.8.2002 3:35 69120]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [15.1.2009 16:17 7408]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - ALG
*Deregistered* - AudioSrv
*Deregistered* - Browser
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - ICQ Service
*Deregistered* - JavaQuickStarterService
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - NOD32krn
*Deregistered* - PolicyAgent
*Deregistered* - ProtectedStorage
*Deregistered* - RasMan
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Schedule
*Deregistered* - Spooler
*Deregistered* - srservice
*Deregistered* - SSDPSRV
*Deregistered* - TapiSrv
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WmiApSrv
*Deregistered* - WS2IFSL
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WZCSVC
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{572BF76C-9EFF-4e1e-93DE-72EF1E91B3DF} - {DB7FBFE3-82CB-49E0-9C41-39C2A80B4966} - c:\program files\Eurotran2002i\e11.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Vlastimil Palla\Data aplikací\Mozilla\Firefox\Profiles\z83d2awu.default\
FF - prefs.js: browser.startup.homepage - hxxp://mystart.icanseek.com/seek.jsp|http://www.seznam.cz/
FF - component: c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\components\NPFFAddOn.dll
FF - component: c:\program files\Media Access Startup\1.0.0.610\FF\components\HPFFAddOn.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-09 09:43
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(520)
c:\program files\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(576)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(3076)
c:\program files\CursorXP\CurXP0.dll
.
Celkový čas: 2009-05-09 9:48
ComboFix-quarantined-files.txt 2009-05-09 07:48

Před spuštěním: Volných bajtů: 34 205 618 176
Po spuštění: Volných bajtů: 34 221 731 840

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

206 --- E O F --- 2009-04-15 17:36
ROOTREPEAL (c) AD, 2007-2008
==================================================
Scan Time: 2009/05/09 10:12
Program Version: Version 1.2.3.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF0B1E000 Size: 98304 File Visible: No
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF9A58000 Size: 8192 File Visible: No
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEFC18000 Size: 45056 File Visible: No
Status: -

SSDT
-------------------
#: 257 Function Name: NtTerminateProcess
Status: Hooked by "C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys" at address 0xf0bfff20

[pitimir]

Nemozem si pomoct, ale nic tam nevidim. Kolegina motji mala nejake napady, konkretne tu bola otazka, ci mas vo Firefoxe nastavene blokovanie Pop-Up okien a zakazane cookies tretich stran?

[Jirous.Jirka]

Tak to asi nemám...porad, jak na to, díky.

[motji]

Já sem teda vlezu ,omlouvám se za vstup

Ve firefoxu nahoře na liště najděte

Nástroje - možnosti - obsah - a zatrhnout políčko u blokovat vyskakovací okna

Omezit cookies můžete
nástroje - možnosti -soukromí - prázdné políčko u povolit cookies třetích stran

- Můžete některé stránky přidat do vyjímek,pokud budete potřebovat.
-pokud to ve Firefoxu už máte,tak mě napadá akorát adblock - doplněk,jinak už nevím,čím by to mohlo být

[Jirous.Jirka]

Díky, udělal jsem to a zatím je klid. Kdyby náhodou, tak se ozvu. Jak mám odinstalovat RootRepeal.zip a combo si pro jistotu mám nechat nebo také vyhodit. Myslím si, že časem bych pc mohl projet Combem.? Raději se ptám, než abych udělal něco špatně.
Ne ne, skáče to znovu, takže tu poslední možnost?

[motji]

Ještě se zeptám, ta okna Vám vyskakují jen v mozille nebo i v exploreru?
Pokud nepoužíváte, odinstalujte icq toolbar

Za kolegu zaskočím,
rootrepeal smažte,
combofix odinstalujte takto

Odinstalujte combofix přes
Start >> Spustit zkopírujte do okénka:

ComboFix /u

stiskněte Enter
-To odinstaluje ComboFix a smaže s ním související soubory a složky.

Stáhněte T-Cleaner
http://sweb.cz/Marinus/T-Cleaner.exe

-Spusťte,pro potvrzení volby mačkejte klávesu A nebo Enter
-po použití prográmek vymažte.Pozor,antiviry ho mohou falešně označit za vir

Stáhněte Ccleaner,viz můj podpis
-nainstalujte a vyčištěte dočasné soubory, i registry

[Jirous.Jirka]

Udělal jsem vše, co jsi napsal i s Toolbarem. Na exploreru okna nevyskakují, ale na Mozille stále ano. Jde s tím něco udělat?

[motji]

Pokud máte v Mozzile zakázané pop-up okna, tak už mě nic nenapadá.
Můžete vyzkoušet vyčistit cache prohlížeče

Smažte cache Firefoxu bud ručně nebo ATF Cleanerem
http://www.slunecnice.cz/sw/atf-cleaner/

- v menu nahoře vyberte záložku Firefox / Opera a klikněte na ni
-zatrhněte Select All a pak klikněte na Empty Selected

pozor - přijdete o všechna hesla uložená ve FF /Opere!


Ještě můžete vyzkoušet tento doplněk do prohlížeče
http://www.czilla.cz/doplnky/rozsireni/adblock-plus/

ale nevím, zda to vyřeší Váš problém.

[Jirous.Jirka]

Mám ted takový problém. Chci v programu přidat odebrat odstranit Mozillu Firefox a vůbec to nereaguje-neodebere. Otevřel jsem i ccleaner a tady také nejde odstranit. Jaký mám poslat log, aby jsi mě poradil, jak odinstalovat? Mozilla nejde ani poklepáním otevřít.

[motji]

Prosím zkuste combofix s tímto skriptem


Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

KILLALL::
Extra::
File::
c:\program files\Internet Saving Optimizer\3.0.0.3540\FF\components\NPFFAddOn.dll
c:\program files\Media Access Startup\1.0.0.610\FF\components\HPFFAddOn.dll
Firefox::
FF - ProfilePath - c:\documents and settings\Vlastimil Palla\Data aplikací\Mozilla\Firefox\Profiles\z83d2awu.default\
FF - component: c:\program files\Internet Saving Optimizer\3.0.0.3540\FF\components\NPFFAddOn.dll
FF - component: c:\program files\Media Access Startup\1.0.0.610\FF\components\HPFFAddOn.dll
Folder::
c:\program files\Media Access Startup
c:\program files\Internet Saving Optimizer

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[Jirous.Jirka]

Udělal jsem vše, jak jsi psal a připojuji log. Co mám udělat dalšího pro odstranění Mozilly Firefox?

ComboFix 09-05-17.08 - Vlastimil Palla 19.05.2009 21:43.4 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.247.67 [GMT 2:00]
Spuštěný z: c:\documents and settings\Vlastimil Palla\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Vlastimil Palla\Plocha\CFScript.txt
AV: Eset NOD32 Antivirus 2.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FILE ::
c:\program files\Internet Saving Optimizer\3.0.0.3540\FF\components\NPFFAddOn.dll
c:\program files\Media Access Startup\1.0.0.610\FF\components\HPFFAddOn.dll
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Internet Saving Optimizer
c:\program files\Internet Saving Optimizer\2.2.0.2880\adwpx.exe
c:\program files\Internet Saving Optimizer\2.2.0.2880\Data\config.md
c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\components\NPFFAddOn.dll
c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\components\NPFFAddOn.xpt
c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\components\NPFFHelperComponent.js
c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\chrome.manifest
c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\chrome\content\NPAddOn.js
c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\chrome\content\NPAddOn.xul
c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\chrome\NPAddOn.jar
c:\program files\Internet Saving Optimizer\2.2.0.2880\FF\install.rdf
c:\program files\Internet Saving Optimizer\2.2.0.2880\NPCommon.dll
c:\program files\Internet Saving Optimizer\2.2.0.2880\NPIEAddOn.dll
c:\program files\Internet Saving Optimizer\2.2.0.2880\unins000.dat
c:\program files\Internet Saving Optimizer\2.2.0.2880\unins000.exe
c:\program files\Media Access Startup
c:\program files\Media Access Startup\1.0.0.610\Data\config.md
c:\program files\Media Access Startup\1.0.0.610\FF\components\HPFFAddOn.dll
c:\program files\Media Access Startup\1.0.0.610\FF\components\HPFFAddOn.xpt
c:\program files\Media Access Startup\1.0.0.610\FF\components\HPFFHelperComponent.js
c:\program files\Media Access Startup\1.0.0.610\FF\chrome.manifest
c:\program files\Media Access Startup\1.0.0.610\FF\chrome\content\HPAddOn.js
c:\program files\Media Access Startup\1.0.0.610\FF\chrome\content\HPAddOn.xul
c:\program files\Media Access Startup\1.0.0.610\FF\chrome\HPAddOn.jar
c:\program files\Media Access Startup\1.0.0.610\FF\install.rdf
c:\program files\Media Access Startup\1.0.0.610\HPCommon.dll
c:\program files\Media Access Startup\1.0.0.610\HPIEAddOn.dll
c:\program files\Media Access Startup\1.0.0.610\hppx.exe
c:\program files\Media Access Startup\1.0.0.610\unins000.dat
c:\program files\Media Access Startup\1.0.0.610\unins000.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-04-19 do 2009-05-19 )))))))))))))))))))))))))))))))
.

2011-06-18 14:58 . 2008-10-16 13:08 34328 -c--a-w c:\windows\system32\dllcache\wups.dll
2011-06-18 14:58 . 2008-10-16 13:08 34328 ----a-w c:\windows\system32\wups.dll
2011-06-18 14:43 . 2011-06-18 14:42 114688 ----a-w c:\windows\system32\nms32.dll
2011-06-18 14:43 . 2011-06-18 14:42 245760 ----a-w c:\windows\system32\imon.dll
2011-06-18 14:43 . 2011-06-18 14:42 300048 ----a-w c:\windows\system32\drivers\amon.sys
2011-06-18 14:42 . 2008-02-09 04:27 -------- d-----w c:\program files\ESET
2009-05-16 10:07 . 2009-05-17 10:14 -------- d-----w c:\program files\Mozilla Firefox(2)
2009-05-09 08:10 . 2009-05-09 08:10 0 ----a-w c:\documents and settings\Vlastimil Palla\settings.dat
2009-04-26 16:04 . 2009-04-26 16:04 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-04-26 10:49 . 2009-04-26 10:49 -------- d-----w c:\program files\Nice Prosper
2009-04-26 10:48 . 2009-04-26 10:48 -------- d-----w c:\program files\DoubleD
2009-04-23 19:51 . 2009-04-23 19:51 0 ----a-w c:\windows\nsreg.dat
2009-04-22 11:58 . 2009-04-22 11:58 -------- d-----w c:\windows\Sun
2009-04-21 16:37 . 2009-04-26 16:04 -------- d-----w c:\program files\SUPERAntiSpyware

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-18 17:27 . 2009-03-18 15:31 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-15 18:02 . 2001-10-25 14:00 49636 ----a-w c:\windows\system32\perfc005.dat
2009-04-15 18:02 . 2001-10-25 14:00 316120 ----a-w c:\windows\system32\perfh005.dat
2009-04-15 18:02 . 2009-04-15 18:02 -------- d-----w c:\program files\CCleaner
2009-04-11 10:18 . 2008-02-25 17:24 -------- d-----w c:\program files\Windows Media Connect 2
2009-04-09 17:15 . 2008-05-17 08:46 -------- d-----w c:\program files\Azureus
2009-04-06 13:32 . 2009-03-18 15:31 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-03-18 15:31 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-30 14:44 . 2009-03-30 13:39 -------- d-----w c:\program files\CIGLER SOFTWARE
2009-03-30 14:16 . 2008-10-14 19:55 -------- d-----w c:\program files\RegCleaner
2009-03-29 11:07 . 2009-03-29 11:07 626688 ----a-w c:\windows\system32\msvcr80.dll
2009-03-29 11:07 . 2009-03-29 11:07 548864 ----a-w c:\windows\system32\msvcp80.dll
2009-03-29 11:07 . 2009-03-29 11:07 28672 ----a-w c:\windows\system32\eEmpty.exe
2009-03-06 14:23 . 2002-09-20 18:04 284160 ----a-w c:\windows\system32\pdh.dll
2009-02-20 08:12 . 2002-09-20 18:05 667136 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:12 . 2005-06-18 13:52 81920 ------w c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-18_20.37.34 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-19 19:57 . 2009-05-19 19:57 16384 c:\windows\temp\Perflib_Perfdata_f8.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CursorXP"="c:\program files\CursorXP\CursorXP.exe" [2002-03-21 67584]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-09-23 21755688]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-12-14 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-12-14 118784]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2005-01-01 847872]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-02-09 65024]
"EssSpkPhone"="essspk.exe" - c:\windows\essspk.exe [2001-10-19 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 09:05 356352 ----a-w c:\program files\SUPERAntiSpyware\SASWINLO.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave2"= serwvdrv.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Azureus\\Azureus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [15.1.2009 16:17 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [15.1.2009 16:17 55024]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [29.8.2002 3:35 69120]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [15.1.2009 16:17 7408]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - ALG
*Deregistered* - AudioSrv
*Deregistered* - Browser
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - JavaQuickStarterService
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - NOD32krn
*Deregistered* - PolicyAgent
*Deregistered* - ProtectedStorage
*Deregistered* - RasMan
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Schedule
*Deregistered* - Spooler
*Deregistered* - srservice
*Deregistered* - SSDPSRV
*Deregistered* - TapiSrv
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - W32Time
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WmiApSrv
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WZCSVC
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{572BF76C-9EFF-4e1e-93DE-72EF1E91B3DF} - {DB7FBFE3-82CB-49E0-9C41-39C2A80B4966} - c:\program files\Eurotran2002i\e11.dll
LSP: imon.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Vlastimil Palla\Data aplikací\Mozilla\Firefox\Profiles\z83d2awu.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.theprizeday.com/today.php|http://my ... seznam.cz/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-19 21:59
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(524)
c:\program files\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(580)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(1772)
c:\program files\CursorXP\CurXP0.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\ESET\nod32krn.exe
c:\windows\system32\wscntfy.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Celkový čas: 2009-05-19 22:09 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-05-19 20:08
ComboFix2.txt 2009-05-19 15:57

Před spuštěním: Volných bajtů: 34 809 765 888
Po spuštění: Volných bajtů: 34 797 371 392

217 --- E O F --- 2009-05-17 10:19