neustálá SMTP komunikace bez nálezu viru

[PetrCR]

Nedaří se mi identifikovat závadu na PC s Windows XP
Když si zobrazím okno "připojení k místní síti-stav", tak je vidět, že neustále přibývá množství odeslaných a přijatých dat, i když se na PC vědomně s internetem nepracuje.
Při zjištění komunikace pomocí nějaké utility nebo příkazu netstat jsou ve výpisu vidět pokaždé jiné domény (podle názvů zahraniční) a u nich poznámka SMTP. Neustále je vytížené SMTP připojení a nejdou odesílat maily (končí chybou Connection rate limited exceeded).

Tento problém jsem na stejném PC rychle řešil před pár měsíci, pomohl Malwarebytes Anti-malware, našel nějakou havěť (už nevím co, ale bylo toho max. 5 položek) a pak už to fungovalo zase normálně.

Nyní se stejný problém vrátil, ale pomocí různých testů jsem nenašel nic podezřelého, možná tam zůstal nějaký zbytek viru od minule. Je tam každý den aktualizované AVG 9, zkoušel jsem MBAM a Spyware Terminator (nejnovější aktualizace), zkoumal msconfig (položky po spuštění), hledal podezřelé procesy, bezvýsledně hledal podobnou závadu na internetu a už jsem v koncích. Windows jsou (myslím) aktualizované. Na PC nejsou vědomně navštěvované nějaké závadné stránky, nenašel jsem podezřelý doručený mail, ale mohl být odstraněný i z koše, případně mohl být škodící web navštívený z odkazu, to nevylučuju.

Přikládám log z HJT a prosím o jakoukoliv pomoc.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:08:21, on 6.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlservr.exe
C:\Program Files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlagent.EXE
C:\Program Files\AVG\AVG9\avgam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\Spyware Terminator\SpywareTerminator.exe
C:\Documents and Settings\Černovská\Plocha\av\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\System32\gemstrmw.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.libra.cz
O16 - DPF: CW App KB R9 - https://www.mojebanka.cz/jars/cwapp.cab
O16 - DPF: KB CW Pack - https://www.mojebanka.cz/jars/cw_pack.cab
O16 - DPF: KB KTpro Pack - https://www.mojebanka.cz/jars/kt_pro_v1101.cab
O16 - DPF: KB SH Pack - https://www.mojebanka.cz/jars/sh_pack.cab
O16 - DPF: KTPro SP KB R9 - https://www.mojebanka.cz/jars/ktpsp.cab
O16 - DPF: SH App KB R9 - https://www.mojebanka.cz/jars/shapp.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 7429697218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7429676312
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG9\Toolbar\ToolbarBroker.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 6201 bytes

[stell]

Zdravim
PROSIM CITAJTE POZORNE NAVOD!!!,

Použij ComboFix podle tohoto návodu: http://www.bleepingcomputer.com/combofi ... t-combofix
Log znej vloz sem.

[PetrCR]

Mám tu log z Combofix, ale dělal jsem to v rychlosti a nemohl jsem se dostat na internet k tomu návodu k použití a sám jsem nepřišel na to, jak vypnout AVG, pokud je potřeba něco jiného než vypnutí rezidentní ochrany (teď koukám, že je tam ještě vypnutí kontroly mailů a odkazů na internet).
Ještě před tím logem jsem použil Avira Rescue CD a při testu našel nějaký rootkit (v jednom souboru a šest souborů od nějakého červa (bohužel jsem nevěděl, jak uložit log a k papíru, kde to mám opsané se dostanu až po víkendu). Dobrá zpráva je, že ta smtp komunikace ustala a maily se tedy také odesílají. Ale je možné, že tam budou ještě zbytky něčeho dalšího (další test z toho Rescue CD už nic nenašel)
V tom logu na mě působí podezřele toto:
S0 esmgo;esmgo; [x]
S2 SRZYKJQR;SRZYKJQR;\??\c:\windows\system32\drivers\SRZYKJQR.sys --> c:\windows\system32\drivers\SRZYKJQR.sys [?]
První položka mi názvem připomíná vir, který vytváří soubor winesm32.exe a ten SYS soubor na druhém řádku má podezřelý název. To jsou ale jenom můj laický pohled.
Prosím o kontrolu.



ComboFix 10-10-07.02 - Černovská 08.10.2010 15:06:02.2.1 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1279.849 [GMT 2:00]
Spu�těný z: c:\documents and settings\Černovská\Plocha\ComboFix.exe
AV: AVG Anti-Virus Business Edition *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-09-08 do 2010-10-08 )))))))))))))))))))))))))))))))
.

2010-10-08 06:23 . 2010-10-08 06:23 4102496 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgui.exe
2010-10-07 13:44 . 2010-10-07 13:44 -------- d-----w- c:\windows\system32\drivers
2010-10-06 09:54 . 2010-10-06 09:54 -------- d-----w- c:\program files\CCleaner
2010-10-06 09:29 . 2010-06-30 12:23 2102600 ----a-w- c:\documents and settings\All Users\Data aplikací\AVG Security Toolbar\IEToolbar.dll
2010-10-06 07:08 . 2010-10-06 07:08 3586912 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\setup.exe
2010-10-06 07:08 . 2010-10-06 07:08 2065760 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgtray.exe
2010-10-06 07:08 . 2010-10-06 07:08 620896 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgnsx.exe
2010-10-06 07:08 . 2010-10-06 07:08 1619296 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgssie.dll
2010-10-06 07:08 . 2010-10-06 07:08 1377632 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgssff.dll
2010-10-06 07:08 . 2010-10-06 07:08 942432 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgcfgx.dll
2010-10-06 07:08 . 2010-10-06 07:08 598368 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgsrmx.dll
2010-10-06 07:08 . 2010-10-06 07:08 300896 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgchclx.dll
2010-10-06 07:08 . 2010-10-06 07:08 4371296 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgcorex.dll
2010-10-06 07:06 . 2010-10-06 07:06 1690952 ----a-w- c:\documents and settings\All Users\Data aplikací\avg9\update\backup\avgupd.dll
2010-10-06 06:17 . 2010-10-06 06:17 52872 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2010-10-06 06:17 . 2010-10-06 06:17 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-10-06 06:16 . 2010-10-06 06:17 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-10-06 06:16 . 2010-10-06 06:16 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-10-06 06:16 . 2010-10-06 06:16 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-10-06 06:16 . 2010-10-06 06:16 -------- d-----w- c:\windows\system32\drivers\Avg
2010-10-04 09:54 . 2010-10-04 09:54 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-01 13:15 . 2010-10-01 13:15 -------- d-----w- c:\program files\ESET
2010-10-01 13:09 . 2010-10-01 13:09 -------- d-----w- c:\program files\Ultimate Process Manager

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-06 10:20 . 2002-05-09 09:57 516896 ----a-w- c:\windows\system32\perfh005.dat
2010-10-06 10:20 . 2002-05-09 09:57 111128 ----a-w- c:\windows\system32\perfc005.dat
2010-08-17 13:17 . 2002-05-09 09:57 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:46 . 2004-04-21 07:59 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
1998-05-24 12:26 . 2004-05-12 10:44 351232 ----a-w- c:\program files\SALAMAND.EXE
.

(((((((((((((((((((((((((((((((((( Spou�těcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny. REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-09-27 10:32 2102600 ----a-w- c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gemstrmw"="c:\windows\System32\gemstrmw.exe" [2004-08-09 24576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-10-06 5058560]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-10-06 2067808]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-10-06 06:17 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2002-09-25 09:44 87751 ----a-w- c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:52 1695232 ----a-w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2003-10-06 12:16 5058560 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2003-10-06 12:16 741376 ----a-w- c:\windows\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.10.2010 8:17 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.10.2010 8:16 216400]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.10.2010 8:16 243024]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.10.2010 8:16 308136]
R2 MSSQL$FENIX;MSSQL$FENIX;c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlservr.exe -sFENIX --> c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlservr.exe -sFENIX [?]
R2 MSSQL$PROFIBANKA;MSSQL$PROFIBANKA;c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlservr.exe -sPROFIBANKA --> c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlservr.exe -sPROFIBANKA [?]
R2 SQLAgent$FENIX;SQLAgent$FENIX;c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlagent.EXE -i FENIX --> c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlagent.EXE -i FENIX [?]
S0 esmgo;esmgo; [x]
S2 SRZYKJQR;SRZYKJQR;\??\c:\windows\system32\drivers\SRZYKJQR.sys --> c:\windows\system32\drivers\SRZYKJQR.sys [?]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe [6.10.2010 8:16 431432]
S3 GTwinUSB;GTwinUSB;c:\windows\system32\drivers\GTwinUSB.sys [5.2.2007 7:50 61776]
S3 SQLAgent$PROFIBANKA;SQLAgent$PROFIBANKA;c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlagent.EXE -i PROFIBANKA --> c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlagent.EXE -i PROFIBANKA [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll
DPF: CW App KB R9 - hxxps://www.mojebanka.cz/jars/cwapp.cab
DPF: KB CW Pack - hxxps://www.mojebanka.cz/jars/cw_pack.cab
DPF: KB KTpro Pack - hxxps://www.mojebanka.cz/jars/kt_pro_v1101.cab
DPF: KB SH Pack - hxxps://www.mojebanka.cz/jars/sh_pack.cab
DPF: KTPro SP KB R9 - hxxps://www.mojebanka.cz/jars/ktpsp.cab
DPF: SH App KB R9 - hxxps://www.mojebanka.cz/jars/shapp.cab
FF - ProfilePath - c:\documents and settings\Černovská\Data aplikací\Mozilla\Firefox\Profiles\qad83qty.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
.


--------------------- Knihovny navázané na bě�ící procesy ---------------------

- - - - - - - > 'explorer.exe'(3956)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-10-08 15:13:01
ComboFix-quarantined-files.txt 2010-10-08 13:13
ComboFix2.txt 2010-10-05 14:05

Před spu�těním: Volných bajtů: 58 571 915 264
Po spu�tění: Volných bajtů: 58 602 455 040

- - End Of File - - E556326936DF7755812C942C58537C15

[stell]

Pri tejto akcii je nutné mať ComboFix na ploche.

Vypni>FIREWALL>Antivir>Antispyware>vsetko rezidentne.

Otvor Notepad (Poznámkový blok) a zkopíruj do neho celý zeleny tex:

Kód: Vybrat vše

KILLALL::
Driver::
esmgo
SRZYKJQR
Rootkit::
c:\windows\system32\drivers\SRZYKJQR.sys

Potom klik na Subor -> Uložiť ako.. .. -> Ako je Názov souboru tak do toho riadku napiš:CFScript.txt
Typ súboru tak tam vyberies *všetky súbory
A ulož ho na plochu.> Pozor CFScript.txt>Neotvarat a nemoze byt ani>CFScript.txt.txt A Urobis Toto :


Po skonceni skenu vlož log čo ComboFix vytvorí

[PetrCR]

OK, k tomu počítači se dostanu nejdřív v pondělí, tak to zkusím.

[stell]

ok,

[PetrCR]

Provedl jsem akci s tím skriptem a tady je výsledek. Logy mám dva, jeden vytvořil Combofix při tom skriptu, druhý je z pouhého spuštění CF. Nevím, jestli to má na něco vliv, ale při tom spuštění CF se skriptem se mi před dokončením přepla Windows na obrazovku s výběrem uživatele (proto jsem dal pro jistotu ještě ten druhý sken.


************************LOG 1*****************************

ComboFix 10-10-11.05 - Černovská 12.10.2010 17:23:43.3.1 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1279.835 [GMT 2:00]
Spuštěný z: c:\documents and settings\Černovská\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Černovská\Plocha\CFScript.txt
AV: AVG Anti-Virus Business Edition *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ESMGO
-------\Legacy_SRZYKJQR
-------\Service_esmgo
-------\Service_SRZYKJQR


((((((((((((((((((((((((( Soubory vytvořené od 2010-09-12 do 2010-10-12 )))))))))))))))))))))))))))))))
.

2010-10-07 13:44 . 2010-10-07 13:44 -------- d-----w- c:\windows\system32\drivers
2010-10-07 09:53 . 2010-10-07 09:53 -------- d-----w- c:\documents and settings\Černovská\Local Settings\Data aplikací\AVG Security Toolbar
2010-10-06 10:16 . 2010-10-06 10:16 -------- d-----w- c:\documents and settings\Černovská\Local Settings\Data aplikací\ApplicationHistory
2010-10-06 09:54 . 2010-10-06 09:54 -------- d-----w- c:\program files\CCleaner
2010-10-06 06:17 . 2010-10-06 06:17 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-10-06 06:16 . 2010-10-06 06:16 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVG Security Toolbar
2010-10-06 06:16 . 2010-10-06 06:16 -------- d-----w- c:\documents and settings\All Users\Data aplikací\avg9
2010-10-04 09:54 . 2010-10-04 09:54 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2010-10-04 09:54 . 2010-10-04 09:54 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-04 09:52 . 2010-10-04 09:52 -------- d-----w- c:\documents and settings\Černovská\Data aplikací\GetRightToGo
2010-10-01 13:15 . 2010-10-01 13:15 -------- d-----w- c:\program files\ESET
2010-10-01 13:09 . 2010-10-01 13:09 -------- d-----w- c:\program files\Ultimate Process Manager
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-09-27 10:32 2102600 ----a-w- c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gemstrmw"="c:\windows\System32\gemstrmw.exe" [2004-08-09 24576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-10-06 5058560]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-10-06 2067808]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-10-06 06:17 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2002-09-25 09:44 87751 ----a-w- c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:52 1695232 ----a-w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2003-10-06 12:16 5058560 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2003-10-06 12:16 741376 ----a-w- c:\windows\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.10.2010 8:17 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.10.2010 8:16 216400]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.10.2010 8:16 243024]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.10.2010 8:16 308136]
R2 MSSQL$FENIX;MSSQL$FENIX;c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlservr.exe -sFENIX --> c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlservr.exe -sFENIX [?]
R2 MSSQL$PROFIBANKA;MSSQL$PROFIBANKA;c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlservr.exe -sPROFIBANKA --> c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlservr.exe -sPROFIBANKA [?]
R2 SQLAgent$FENIX;SQLAgent$FENIX;c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlagent.EXE -i FENIX --> c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlagent.EXE -i FENIX [?]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe [6.10.2010 8:16 431432]
S3 GTwinUSB;GTwinUSB;c:\windows\system32\drivers\GTwinUSB.sys [5.2.2007 7:50 61776]
S3 SQLAgent$PROFIBANKA;SQLAgent$PROFIBANKA;c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlagent.EXE -i PROFIBANKA --> c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlagent.EXE -i PROFIBANKA [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: postsignum.cz\www
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll
DPF: CW App KB R9 - hxxps://www.mojebanka.cz/jars/cwapp.cab
DPF: KB CW Pack - hxxps://www.mojebanka.cz/jars/cw_pack.cab
DPF: KB KTpro Pack - hxxps://www.mojebanka.cz/jars/kt_pro_v1101.cab
DPF: KB SH Pack - hxxps://www.mojebanka.cz/jars/sh_pack.cab
DPF: KTPro SP KB R9 - hxxps://www.mojebanka.cz/jars/ktpsp.cab
DPF: SH App KB R9 - hxxps://www.mojebanka.cz/jars/shapp.cab
FF - ProfilePath - c:\documents and settings\Černovská\Data aplikací\Mozilla\Firefox\Profiles\qad83qty.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(2848)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlservr.exe
c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlservr.exe
c:\windows\System32\nvsvc32.exe
c:\program files\AVG\AVG9\avgam.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlagent.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Celkový čas: 2010-10-12 17:37:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-10-12 15:37
ComboFix2.txt 2010-10-08 13:13
ComboFix3.txt 2010-10-05 14:05

Před spuštěním: Volných bajtů: 58 588 168 192
Po spuštění: Volných bajtů: 58 509 524 992

- - End Of File - - 4361DE055F833475099E2DDA6B9CD785





************************LOG 2*****************************

ComboFix 10-10-11.05 - Černovská 12.10.2010 17:58:47.5.1 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1279.807 [GMT 2:00]
Spuštěný z: c:\documents and settings\Černovská\Plocha\ComboFix.exe
AV: AVG Anti-Virus Business Edition *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-09-12 do 2010-10-12 )))))))))))))))))))))))))))))))
.

2010-10-07 13:44 . 2010-10-07 13:44 -------- d-----w- c:\windows\system32\drivers
2010-10-07 09:53 . 2010-10-07 09:53 -------- d-----w- c:\documents and settings\Černovská\Local Settings\Data aplikací\AVG Security Toolbar
2010-10-06 10:16 . 2010-10-06 10:16 -------- d-----w- c:\documents and settings\Černovská\Local Settings\Data aplikací\ApplicationHistory
2010-10-06 09:54 . 2010-10-06 09:54 -------- d-----w- c:\program files\CCleaner
2010-10-06 06:17 . 2010-10-06 06:17 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-10-06 06:16 . 2010-10-06 06:16 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVG Security Toolbar
2010-10-06 06:16 . 2010-10-06 06:16 -------- d-----w- c:\documents and settings\All Users\Data aplikací\avg9
2010-10-04 09:54 . 2010-10-04 09:54 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2010-10-04 09:54 . 2010-10-04 09:54 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-04 09:52 . 2010-10-04 09:52 -------- d-----w- c:\documents and settings\Černovská\Data aplikací\GetRightToGo
2010-10-01 13:15 . 2010-10-01 13:15 -------- d-----w- c:\program files\ESET
2010-10-01 13:09 . 2010-10-01 13:09 -------- d-----w- c:\program files\Ultimate Process Manager
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-09-27 10:32 2102600 ----a-w- c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-09-27 2102600]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gemstrmw"="c:\windows\System32\gemstrmw.exe" [2004-08-09 24576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-10-06 5058560]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-10-06 2067808]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-10-06 06:17 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2002-09-25 09:44 87751 ----a-w- c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:52 1695232 ----a-w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2003-10-06 12:16 5058560 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2003-10-06 12:16 741376 ----a-w- c:\windows\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.10.2010 8:17 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.10.2010 8:16 216400]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.10.2010 8:16 243024]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.10.2010 8:16 308136]
R2 MSSQL$FENIX;MSSQL$FENIX;c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlservr.exe -sFENIX --> c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlservr.exe -sFENIX [?]
R2 MSSQL$PROFIBANKA;MSSQL$PROFIBANKA;c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlservr.exe -sPROFIBANKA --> c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlservr.exe -sPROFIBANKA [?]
R2 SQLAgent$FENIX;SQLAgent$FENIX;c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlagent.EXE -i FENIX --> c:\program files\Microsoft SQL Server\MSSQL$FENIX\Binn\sqlagent.EXE -i FENIX [?]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe [6.10.2010 8:16 431432]
S3 GTwinUSB;GTwinUSB;c:\windows\system32\drivers\GTwinUSB.sys [5.2.2007 7:50 61776]
S3 SQLAgent$PROFIBANKA;SQLAgent$PROFIBANKA;c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlagent.EXE -i PROFIBANKA --> c:\program files\profibanka\System\BinnMSSQL$PROFIBANKA\Binn\sqlagent.EXE -i PROFIBANKA [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: postsignum.cz\www
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll
DPF: CW App KB R9 - hxxps://www.mojebanka.cz/jars/cwapp.cab
DPF: KB CW Pack - hxxps://www.mojebanka.cz/jars/cw_pack.cab
DPF: KB KTpro Pack - hxxps://www.mojebanka.cz/jars/kt_pro_v1101.cab
DPF: KB SH Pack - hxxps://www.mojebanka.cz/jars/sh_pack.cab
DPF: KTPro SP KB R9 - hxxps://www.mojebanka.cz/jars/ktpsp.cab
DPF: SH App KB R9 - hxxps://www.mojebanka.cz/jars/shapp.cab
FF - ProfilePath - c:\documents and settings\Černovská\Data aplikací\Mozilla\Firefox\Profiles\qad83qty.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3544)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-10-12 18:04:58
ComboFix-quarantined-files.txt 2010-10-12 16:04
ComboFix2.txt 2010-10-12 15:52
ComboFix3.txt 2010-10-12 15:37
ComboFix4.txt 2010-10-08 13:13
ComboFix5.txt 2010-10-12 15:58

Před spuštěním: Volných bajtů: 58 498 187 264
Po spuštění: Volných bajtů: 58 493 829 120

- - End Of File - - CC9BF1B3989540C462BCCDE19FCBB395

[stell]

Ok, mozes odinstalovat combofix-start-spustit-combofix /uninstall

Tot vse.

[PetrCR]

Dík za pomoc, zdá se být vše v pořádku

[stell]

nemas zaco.