VIRY.CZ

zdravim,

včera se mi stala celkem nemilá věc. došel sem k ntb klasika zapnul, ale ejhle skype mě začlo vyhazovat na historii z 28 srpna, kdykoli někdo něco napíše na chat, hodí mě to zase úplně na začátek. Fajn, skype je divnej program, ale dneska koukám do nabídky start - všechny programy a jak se po instalaci různýho SW zvýrazňuje danej program takou nažloutlou barvičkou, tak sem to měl najednou na víc než polovině všech programů... Před chvilou mi při přihlášení na mail na seznam.cz vyhodilo hlášku že stránka je nedůvěryhodná... Nějak nevím co s tím, stalo se to z ničeho nic. Předem všem díky za rady

Abny


Log byl trošku delší než 60K znaků. najdete na :
http://www.uloz.to/6622494/log-txt

Zdravím, tohle fixni v HJT :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/sm
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [SymInstallStub] C:\WINDOWS\system32\Macromed\Shockwave 10\syminstallstub.exe /partnerid=adobe /productlist=nss /staging=false /debug /delay=5 /tasktries=6
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?

HJT najdeš zde :

C:\Program Files\trend micro\PC.exe

Fix znamená že spustíš HJT

v okně které se ti otevře klikneš na Do a system scan only

v dalším okně najdeš řádky které jsem ti vypsal,

vedle nich je čtvereček do kterého uděláš zatržítko,

pak klikneš na Fix checked které je vlevo dole,

program se ti zeptá zda opravdu ANO s tím samozřejmě souhlasíš a je hotovo.


Přes Start >> Spustit >> napiš - services.msc >> OK. Najdi službu :

Služba Google Update

ICQ Service

McAfee Security Scan Component Host Service

NBService

NMIndexingService


klikni na ni pravým myšítkem, zvol vlastnosti, na další kartě nejprve službu zastav tlačítkem Zastavit a u položky Typ spouštění zvol Zakázáno.

Přes Start >> Ovládací panely >> Přidat nebo odebrat odinstaluj ICQ6Toolbar


Stáhni a ulož na plochu ComboFix,

spusť aplikaci jako Administrátor a povol instalaci Konzole pro zotavení - Recovery Console.

Poté se zobrazí okno s licenčními podmínkami které potvrdíš kliknutím na ANO,

pak ještě jednou klik na ANO a už to jede.

Celá akce trvá okolo 10 minut ale může i déle, během skenu se nepokoušej spouštět nic jiného.

Při skenovaní může být PC i restartováno nelekat se.

Upozornění: po dobu skenu vypni rezidentní štít Antiviru a AntiSpy programu,

protože Combofix se pokouší napadené soubory smazat a tyto programy mu můžou bránit.

Po dokončení skenu nebo následném restartu aplikace vytvoří log, uložený na C:/Combofix.txt

(při opakovaném použití jsou logy číslovány Combofix2.txt atd.), jeho obsah zkopíruj sem.

Tak sem udělal co jsi poradil, tadyk je obsah logu:

ComboFix 10-11-21.02 - PC 22.11.2010 13:19:47.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3071.1762 [GMT 1:00]
Spuštěný z: c:\documents and settings\PC\Plocha\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Vytvořen nový Bod Obnovení
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\PC\LOCALS~1\Temp\salexten.dll
c:\documents and settings\PC\Local Settings\Temp\salexten.dll
c:\windows\system\BisonCam.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-10-22 do 2010-11-22 )))))))))))))))))))))))))))))))
.

2010-11-16 10:34 . 2010-11-16 11:05 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Blizzard Entertainment
2010-11-16 10:34 . 2010-11-16 10:55 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2010-11-10 23:27 . 2010-11-10 23:54 256 ----a-w- C:\wscnnt.exe
2010-11-06 09:37 . 2010-11-06 09:37 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2010-10-29 14:23 . 2010-10-29 14:23 94208 ----a-w- c:\windows\DIIUnin.exe
2010-10-29 14:23 . 2010-10-29 14:23 2829 ----a-w- c:\windows\DIIUnin.pif
2010-10-25 20:32 . 2010-10-25 20:32 -------- d-----w- c:\documents and settings\All Users\Data aplikací\McAfee
2010-10-25 20:32 . 2010-10-25 20:32 -------- d-----w- c:\documents and settings\All Users\Data aplikací\McAfee Security Scan
2010-10-25 20:31 . 2010-10-25 20:31 -------- d-----w- c:\program files\McAfee Security Scan

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-18 20:19 . 2010-10-18 20:19 25280 ----a-w- c:\windows\system32\drivers\hamachi.sys
2010-09-18 10:23 . 2007-04-03 06:44 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2008-04-14 06:51 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2008-04-14 06:51 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-18 06:53 . 2001-10-25 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-12 20:40 . 2010-09-08 07:57 139336 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-09-12 20:40 . 2010-09-08 07:57 214720 ----a-w- c:\windows\system32\PnkBstrB.xtr
2010-09-12 20:40 . 2010-09-08 07:49 214720 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-09-10 05:52 . 2008-04-14 06:52 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:52 . 2008-04-14 06:52 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-09-10 05:52 . 2008-04-14 06:51 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-08 07:49 . 2010-09-08 07:49 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-09-08 07:49 . 2010-09-08 07:49 2373712 ----a-w- c:\windows\system32\pbsvc.exe
2010-09-07 15:12 . 2010-08-24 17:38 38848 ----a-w- c:\windows\avastSS.scr
2010-09-07 15:11 . 2010-08-24 17:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-08-24 17:11 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-08-24 17:11 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-08-24 17:11 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-08-24 17:11 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-08-24 17:11 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-08-24 17:11 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-08-24 17:11 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-09-01 11:52 . 2008-04-14 06:37 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:57 . 2008-04-14 05:45 1852800 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:03 . 2008-04-14 06:52 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:54 . 2008-04-14 06:52 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2008-04-13 22:45 357248 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-24 17:37 . 2010-08-24 17:37 142592 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
2010-08-24 17:14 . 2010-08-24 17:13 24 --sh--w- c:\windows\SB2E5F2C0.tmp
2010-08-24 17:13 . 2010-08-24 17:13 87608 ----a-w- c:\documents and settings\PC\Data aplikací\inst.exe
2010-08-24 17:13 . 2010-08-24 17:13 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2010-08-24 17:13 . 2010-08-24 17:13 47360 ----a-w- c:\documents and settings\PC\Data aplikací\pcouffin.sys
2010-08-24 17:12 . 2010-08-24 17:09 29480 ----a-w- c:\windows\system32\msxml3a.dll
2010-08-24 17:12 . 2009-03-19 15:08 505128 ----a-w- c:\windows\system32\msvcp71.dll
2010-08-24 17:12 . 2009-03-19 15:08 353576 ----a-w- c:\windows\system32\msvcr71.dll
2010-08-24 16:55 . 2010-08-24 16:55 150528 ----a-w- c:\windows\FAVPID.DLL
2010-08-24 16:55 . 2010-08-24 16:55 45568 ----a-w- c:\windows\system32\UTSCSI.EXE
2010-08-24 16:23 . 2010-08-24 16:23 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-08-24 14:41 . 2010-08-24 14:41 315392 ----a-w- c:\windows\HideWin.exe
2010-08-24 14:40 . 2010-08-24 14:40 21393 ----a-w- c:\windows\system32\drivers\AegisP.sys
2010-08-24 14:40 . 2010-08-24 14:40 21393 ----a-w- c:\windows\AegisP.sys
.

------- Sigcheck -------

[-] 2009-04-09 . F587B0981034E79FF9C447C16CB66380 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuz1.dll" [2010-09-09 2735200]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-09-09 18:48 2735200 ----a-w- c:\program files\Vuze_Remote\tbVuz1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuz1.dll" [2010-09-09 2735200]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\tbVuz1.dll" [2010-09-09 2735200]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"SpywareTerminatorUpdate"="c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe" [2010-08-24 3037696]
"Raptr"="c:\progra~1\Raptr\raptrstub.exe" [2010-11-11 52648]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-10-11 14940040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-18 8466432]
"nwiz"="nwiz.exe" [2007-07-18 1626112]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-06-01 823296]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-06-01 974848]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 89541]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2010-08-24 2176512]
"BisonHK"="c:\windows\BisonCam\BisonHK.exe" [2007-03-15 32768]
"BsMnt"="c:\windows\BisonCam\BsMnt.exe" [2007-03-15 172032]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2007-11-21 180224]

c:\documents and settings\PC\Nabˇdka Start\Programy\Po spuçtŘnˇ\
hamachi.lnk - d:\hry\hamachi\hamachi.exe [2010-10-18 625952]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=
"c:\\Program Files\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Hry\\UO\\UO\\6040.exe"=
"d:\\Programy\\QIP\\qip.exe"=
"d:\\Hry\\CS\\hl.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Hry\\hamachi\\hamachi.exe"=
"d:\\mozilla download\\P1876832.JPG-www.facebook.exe"= c:\\WINDOWS\\nvsvc32.exe
"c:\\Program Files\\Raptr\\raptr.exe"=
"c:\\Program Files\\Raptr\\raptr_im.exe"=
"d:\\Hry\\StarCraft II\\StarCraft II.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Hry\\UO\\UO\\UOAM\\uoam.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.8.2010 17:23 691696]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24.8.2010 18:11 165584]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [24.8.2010 18:37 142592]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/08/24 19:09];c:\program files\CyberLink\PowerDVD9\000.fcl [28.8.2009 11:57 87536]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24.8.2010 18:11 17744]
R2 NishService;SCM Driver Daemon;c:\program files\System Control Manager\edd.exe [25.8.2010 11:23 40960]
R3 MGHwCtrl;MGHwCtrl;c:\windows\system32\drivers\MGHwCtrl.sys [25.8.2010 11:23 9088]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [24.8.2010 15:43 51288]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [24.8.2010 15:43 43608]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [14.4.2008 7:52 14336]
S3 WPRO_40_1340;WinPcap Packet Driver (WPRO_40_1340);c:\windows\system32\drivers\WPRO_40_1340.sys --> c:\windows\system32\drivers\WPRO_40_1340.sys [?]
S4 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [24.8.2010 16:08 136176]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15.1.2010 13:49 227232]
.
Obsah adresáře 'Naplánované úlohy'

2010-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 15:08]

2010-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 15:08]

2010-11-16 c:\windows\Tasks\SymInstallStub.job
- c:\windows\system32\Macromed\Shockwave 10\syminstallstub.exe [2010-11-04 16:49]
.
.
------- Doplňkový sken -------
.
IE: Download All by FlashGet - d:\programy\flashget\jc_all.htm
IE: Download using FlashGet - d:\programy\flashget\jc_link.htm
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\PC\Data aplikací\Mozilla\Firefox\Profiles\e0b2ogno.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - seznam.cz
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=sm&tb_ver=1.1.6&q=
FF - component: c:\documents and settings\PC\Data aplikací\Mozilla\Firefox\Profiles\e0b2ogno.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\PC\Data aplikací\Mozilla\Firefox\Profiles\e0b2ogno.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-22 13:24
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3688)
c:\progra~1\Raptr\ltc_help.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\O2Micro Flash Memory Card Driver\o2flash.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\windows\system32\UTSCSI.EXE
c:\windows\RTHDCPL.EXE
c:\windows\AGRSMMSG.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Intel\Wireless\Bin\Dot1XCfg.exe
c:\progra~1\Raptr\raptr.exe
c:\progra~1\Raptr\raptr_im.exe
.
**************************************************************************
.
Celkový čas: 2010-11-22 13:28:10 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-11-22 12:28

Před spuštěním: Volných bajtů: 18 274 398 208
Po spuštění: Volných bajtů: 18 322 706 432

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - DCBC66650F051044E37F1B279116DC94

Pokud jsi tak ještě neučinil, přesuň Combofix na plochu

otevři si Poznámkový blok

do něj zkopíruj skript z následujícího okna:
ulož Tebou vytvořený TXT soubor jako CFScript.txt na plochu,

po uložení uchop vytvořený skript levým myšítkem a přesuň ho nad ikonu Combofixu, kde ho upustíš:



Po aplikaci na Tebe vypadne další log, zkopíruj ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou,

v tom případě znovu restartuj a přitom mačkej F8 poté zvol Poslední známou funkční konfiguraci

pardon že až teď tak pozdě, byl sem mimo dostah internetu... log po spuštění scriptu:

ComboFix 10-11-21.02 - PC 30.11.2010 14:20:24.2.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3071.2129 [GMT 1:00]
Spuštěný z: c:\documents and settings\PC\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\PC\Plocha\CFScript.txt
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
- REŽIM S OMEZENOU FUNKČNOSTÍ -

FILE ::
"c:\windows\SB2E5F2C0.tmp"
"C:\wscnnt.exe"
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-10-28 do 2010-11-30 )))))))))))))))))))))))))))))))
.

2010-11-16 10:34 . 2010-11-16 11:05 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Blizzard Entertainment
2010-11-16 10:34 . 2010-11-16 10:55 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2010-11-10 23:27 . 2010-11-10 23:54 256 ----a-w- C:\wscnnt.exe
2010-11-06 09:37 . 2010-11-06 09:37 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-29 14:23 . 2010-10-29 14:23 94208 ----a-w- c:\windows\DIIUnin.exe
2010-10-29 14:23 . 2010-10-29 14:23 2829 ----a-w- c:\windows\DIIUnin.pif
2010-10-18 20:19 . 2010-10-18 20:19 25280 ----a-w- c:\windows\system32\drivers\hamachi.sys
2010-09-18 10:23 . 2007-04-03 06:44 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2008-04-14 06:51 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2008-04-14 06:51 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-18 06:53 . 2001-10-25 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-12 20:40 . 2010-09-08 07:57 139336 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-09-12 20:40 . 2010-09-08 07:57 214720 ----a-w- c:\windows\system32\PnkBstrB.xtr
2010-09-12 20:40 . 2010-09-08 07:49 214720 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-09-10 05:52 . 2008-04-14 06:52 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:52 . 2008-04-14 06:52 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-09-10 05:52 . 2008-04-14 06:51 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-08 07:49 . 2010-09-08 07:49 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-09-08 07:49 . 2010-09-08 07:49 2373712 ----a-w- c:\windows\system32\pbsvc.exe
2010-09-07 15:12 . 2010-08-24 17:38 38848 ----a-w- c:\windows\avastSS.scr
2010-09-07 15:11 . 2010-08-24 17:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-08-24 17:11 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-08-24 17:11 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-08-24 17:11 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-08-24 17:11 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-08-24 17:11 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-08-24 17:11 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-08-24 17:11 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
.

------- Sigcheck -------

[-] 2009-04-09 . F587B0981034E79FF9C447C16CB66380 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-11-22_12.23.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-11-29 10:37 . 2010-11-29 10:37 16384 c:\windows\Temp\Perflib_Perfdata_adc.dat
+ 2010-08-24 14:38 . 2010-11-25 20:46 27050 c:\windows\system32\nvModes.dat
- 2010-08-24 14:38 . 2010-05-20 12:24 27050 c:\windows\system32\nvModes.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuz1.dll" [2010-09-09 2735200]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-09-09 18:48 2735200 ----a-w- c:\program files\Vuze_Remote\tbVuz1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuz1.dll" [2010-09-09 2735200]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\tbVuz1.dll" [2010-09-09 2735200]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"SpywareTerminatorUpdate"="c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe" [2010-08-24 3037696]
"Raptr"="c:\progra~1\Raptr\raptrstub.exe" [2010-11-11 52648]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-10-11 14940040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-18 8466432]
"nwiz"="nwiz.exe" [2007-07-18 1626112]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-06-01 823296]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-06-01 974848]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 89541]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2010-08-24 2176512]
"BisonHK"="c:\windows\BisonCam\BisonHK.exe" [2007-03-15 32768]
"BsMnt"="c:\windows\BisonCam\BsMnt.exe" [2007-03-15 172032]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2007-11-21 180224]

c:\documents and settings\PC\Nabˇdka Start\Programy\Po spuçtŘnˇ\
hamachi.lnk - d:\hry\hamachi\hamachi.exe [2010-10-18 625952]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=
"c:\\Program Files\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Hry\\UO\\UO\\6040.exe"=
"d:\\Programy\\QIP\\qip.exe"=
"d:\\Hry\\CS\\hl.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Hry\\hamachi\\hamachi.exe"=
"d:\\mozilla download\\P1876832.JPG-www.facebook.exe"= c:\\WINDOWS\\nvsvc32.exe
"c:\\Program Files\\Raptr\\raptr.exe"=
"c:\\Program Files\\Raptr\\raptr_im.exe"=
"d:\\Hry\\StarCraft II\\StarCraft II.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Hry\\UO\\UO\\UOAM\\uoam.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.8.2010 17:23 691696]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24.8.2010 18:11 165584]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [24.8.2010 18:37 142592]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/08/24 19:09];c:\program files\CyberLink\PowerDVD9\000.fcl [28.8.2009 11:57 87536]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24.8.2010 18:11 17744]
R3 MGHwCtrl;MGHwCtrl;c:\windows\system32\drivers\MGHwCtrl.sys [25.8.2010 11:23 9088]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [24.8.2010 15:43 51288]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [24.8.2010 15:43 43608]
S2 NishService;SCM Driver Daemon;c:\program files\System Control Manager\edd.exe [25.8.2010 11:23 40960]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [14.4.2008 7:52 14336]
S3 WPRO_40_1340;WinPcap Packet Driver (WPRO_40_1340);c:\windows\system32\drivers\WPRO_40_1340.sys --> c:\windows\system32\drivers\WPRO_40_1340.sys [?]
S4 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [24.8.2010 16:08 136176]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15.1.2010 13:49 227232]
.
Obsah adresáře 'Naplánované úlohy'

2010-11-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 15:08]

2010-11-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-24 15:08]

2010-11-16 c:\windows\Tasks\SymInstallStub.job
- c:\windows\system32\Macromed\Shockwave 10\syminstallstub.exe [2010-11-04 16:49]
.
.
------- Doplňkový sken -------
.
IE: Download All by FlashGet - d:\programy\flashget\jc_all.htm
IE: Download using FlashGet - d:\programy\flashget\jc_link.htm
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\PC\Data aplikací\Mozilla\Firefox\Profiles\e0b2ogno.default\
FF - prefs.js: browser.startup.homepage - seznam.cz
FF - component: c:\documents and settings\PC\Data aplikací\Mozilla\Firefox\Profiles\e0b2ogno.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\PC\Data aplikací\Mozilla\Firefox\Profiles\e0b2ogno.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************
skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(5296)
c:\progra~1\Raptr\ltc_help.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-11-30 14:22:41
ComboFix-quarantined-files.txt 2010-11-30 13:22
ComboFix2.txt 2010-11-22 12:28

Před spuštěním: Volných bajtů: 18 589 458 432
Po spuštění: Volných bajtů: 18 583 257 088

- - End Of File - - C668ED1213B452AC7390DE445EB55E9A

Přes Start >> Spustit zkopíruj do okna:

ComboFix /Uninstall

a stiskni Enter

To odinstaluje ComboFix a smaže s ním související soubory a složky.


Stáhni a spusť OTMoveIt

do levého okna aplikace pod Paste Instructions for Items to be Moved zkopíruj tento text:
klikni na MoveIt! a v pravém zeleném okně aplikace se Ti objeví info o provedene akci, obsah okna zkopíruj sem,

pokud aplikace bude požadovat restart, klikni na YES

v tom případě sem chci zkopírovat obsah logu uloženého na C:\_OTMoveIt\MovedFiles\

log na C:\ mi to neuložilo, ale vyskočil mi hned po restartu ntb tento log v poznámkovým bloku:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\*.tmp not found.
C:\WINDOWS\System32\CONFIG.TMP moved successfully.
C:\WINDOWS\NV25283048.TMP folder moved successfully.
File move failed. C:\WINDOWS\SB2E5F2C0.tmp scheduled to be moved on reboot.
C:\WINDOWS\SET3.tmp moved successfully.
C:\WINDOWS\SET4.tmp moved successfully.
C:\WINDOWS\SET8.tmp moved successfully.
C:\wscnnt.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: PC
->Temp folder emptied: 1601305 bytes
->Temporary Internet Files folder emptied: 1720991 bytes
->Java cache emptied: 1251925 bytes
->FireFox cache emptied: 58569771 bytes
->Google Chrome cache emptied: 22706783 bytes
->Flash cache emptied: 20590 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 24 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 54132 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 82,00 mb


OTM by OldTimer - Version 3.1.17.2 log created on 12022010_225850

Files moved on Reboot...
File move failed. C:\WINDOWS\SB2E5F2C0.tmp scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Nepořádek je pryč, jaký je tedy stav PC ?

PC vypadá že je ve stavu před tou krpou co se tu stala. Moc děkuju Mohl bys mi teď aspoń trošku nastínit co se s tím dělalo? já bych se v těch logách nevyznal ani kdybych se rozkrájel :-X

Abny píše:Mohl bys mi teď aspoń trošku nastínit co se s tím dělalo? já bych se v těch logách nevyznal ani kdybych se rozkrájel :-X

No měl jsi tam nějaké šmejdy kteří ti to tak trošku rozhodili, tak jsme je smázli a je klid

Abny píše:PC vypadá že je ve stavu před tou krpou co se tu stala. Moc děkuju

Není zač.