VIRY.CZ

Ahoj.

Holka prý chytla na svém PC něco z Facebooku a ten počítač je asi pořádně zavirovaný.
Po pokusu o otevření AVASTu vyskočí u hodin červené okno Avast - Enhanced protection mode.
Prosím o kontrolu logu a o pomoc. Děkuji


.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by Rothová at 9:09:09 on 2011-11-26
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.510.93 [GMT 1:00]
.
AV: avast! antivirus 4.8.1229 [VPS 090429-0] *Enabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Rothová\Dokumenty\soud\TomTom HOME 2\TomTomHOMERunner.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\update.5.0\svchost.exe srv
C:\WINDOWS\update.2\svchost.exe srv
"C:\WINDOWS\update.5.0\svchost.exe" stand
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\Documents and Settings\Rothová\Dokumenty\soud\TomTom HOME 2\TomTomHOMEService.exe
svchost.exe
"C:\WINDOWS\update.2\svchost.exe" stand
"C:\WINDOWS\update.2\svchost.exe" spamer
"C:\WINDOWS\update.2\svchost.exe" spamer
"C:\WINDOWS\update.2\svchost.exe" spamer
"C:\WINDOWS\update.2\svchost.exe" spamer
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\totalcmd\TOTALCMD.EXE
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.seznam.cz/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
uURLSearchHooks: H - No File
uURLSearchHooks: H - No File
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: EWPBrowseObject Class: {68f9551e-0411-48e4-9aaf-4bc42a6a46be} - c:\program files\canon\easy-webprint\EWPBrowseLoader.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: QUICKfind BHO Object: {c08df07a-3e49-4e25-9ab0-d3882835f153} - c:\progra~1\textware\quickf~1\plugins\IEHelp.dll
BHO: GretechBHO Class: {f0181c6e-9218-4792-9f3c-e8df52b2f1ac} - c:\program files\gretech\gompicker\GomPickerBHO.dll
TB: Easy-WebPrint: {327c2873-e90d-4c37-aa9d-10ac9baba46c} - c:\program files\canon\easy-webprint\Toolband.dll
TB: Steganos Password Manager Toolbar: {9c65d12d-cf9d-454d-8049-61965d8c6fff} - c:\program files\steganos password manager 12\SPMIEToolbar.dll
TB: {855F3B16-6D32-4FE6-8A56-BBB695989046} - No File
TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
uRun: [TomTomHOME.exe] "c:\documents and settings\rothová\dokumenty\soud\tomtom home 2\TomTomHOMERunner.exe"
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [5270354.exe] "c:\docume~1\rothov~1\locals~1\temp\5270354.exe"
mRun: [sysdriver32.exe] "c:\windows\sysdriver32.exe" rezerv
mRun: [sysdriver32_.exe] "c:\windows\sysdriver32_.exe" rezerv
mRun: [1890357.exe] "c:\windows\temp\1890357.exe"
mRun: [6576306.exe] "c:\windows\temp\6576306.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\nabdka~1\programy\posput~1\mcafee~1.lnk - c:\program files\mcafee security scan\2.0.181\SSScheduler.exe
StartupFolder: c:\docume~1\alluse~1\nabdka~1\programy\posput~1\micros~1.lnk - c:\program files\microsoft office\office10\OSA.EXE
mPolicies-system: EnableSecureUIAPaths = 0 (0x0)
IE: &ICQ Toolbar Search - c:\program files\icqtoolbar\toolbaru.dll/SEARCH.HTML
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
IE: {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\program files\icqlite\ICQLite.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {024538B9-3F39-49FF-9503-975F743210FA} - {9C65D12D-CF9D-454d-8049-61965D8C6FFF} - c:\program files\steganos password manager 12\SPMIEToolbar.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{9FED6370-699D-416A-B2C9-2EE6275039E7} : DhcpNameServer = 192.168.1.1
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program files\common files\microsoft shared\web folders\PKMCDO.DLL
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
LSA: Authentication Packages = msv1_0 nwprovau
.
============= SERVICES / DRIVERS ===============
.
R2 srvbtcclient;srvbtcclient;c:\windows\update.5.0\svchost.exe srv --> c:\windows\update.5.0\svchost.exe srv [?]
R2 srviecheck;srviecheck;c:\windows\update.2\svchost.exe srv --> c:\windows\update.2\svchost.exe srv [?]
R2 TomTomHOMEService;TomTomHOMEService;c:\documents and settings\rothová\dokumenty\soud\tomtom home 2\TomTomHOMEService.exe [2011-3-9 92592]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2001-10-25 69120]
S2 gupdate1c9c5b316c755b0;Služba Google Update (gupdate1c9c5b316c755b0);c:\program files\google\update\GoogleUpdate.exe [2009-4-25 133104]
S2 srvsysdriver32;srvsysdriver32;c:\windows\sysdriver32.exe srv --> c:\windows\sysdriver32.exe srv [?]
S3 AME;PC Camera(6029 CIF);c:\windows\system32\drivers\pfc027.sys [2005-2-24 162176]
S3 CoachVid;CoachVid;c:\windows\system32\drivers\CoachVid.sys [2008-10-5 45344]
S3 gupdatem;Služba Google Update (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2009-4-25 133104]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;"c:\program files\mcafee security scan\2.0.181\mcchsvc.exe" --> c:\program files\mcafee security scan\2.0.181\McCHSvc.exe [?]
S3 PAC207;SoC PC-Camer@;c:\windows\system32\drivers\pfc027.sys [2005-2-24 162176]
S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [2011-11-26 111872]
.
=============== Created Last 30 ================
.
2011-11-26 06:15:52 -------- d-----w- c:\windows\rpcminer
2011-11-26 06:15:52 -------- d-----w- c:\windows\phoenix
2011-11-26 06:13:10 -------- d--h--w- c:\windows\update.2
2011-11-26 06:11:21 -------- d-----w- c:\program files\Loaris
2011-11-26 06:10:15 -------- d--h--w- c:\windows\update.5.0
2011-11-26 06:09:30 257024 ----a-w- c:\windows\sysdriver32_.exe
2011-11-26 06:09:16 257024 ----a-w- c:\windows\sysdriver32.exe
2011-11-26 00:17:35 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-25 22:53:32 -------- dcsha-r- C:\cmdcons
2011-11-25 22:48:19 256000 ----a-w- c:\windows\PEV.exe
2011-11-25 22:48:19 208896 ----a-w- c:\windows\MBR.exe
2011-11-25 22:48:18 98816 ----a-w- c:\windows\sed.exe
2011-11-25 22:48:18 518144 ----a-w- c:\windows\SWREG.exe
2011-11-25 20:03:54 -------- d-----w- c:\documents and settings\rothová\data aplikací\Malwarebytes
2011-11-25 20:03:36 -------- dc----w- c:\documents and settings\all users\data aplikací\Malwarebytes
2011-11-25 20:03:32 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-25 20:03:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-11-25 19:31:09 -------- d-----w- c:\program files\PC Tools Security
2011-11-25 19:31:09 -------- d-----w- c:\program files\common files\PC Tools
2011-11-25 19:29:18 -------- dc----w- c:\documents and settings\all users\data aplikací\PC Tools
2011-10-29 07:05:10 -------- d-----w- c:\program files\AMD APP
2011-10-29 07:05:01 -------- d-----w- c:\program files\ATI
2011-10-29 06:54:24 -------- dc----w- C:\ATI
2011-10-29 06:48:59 -------- d-----w- c:\windows\ufa
2011-10-28 09:07:07 246272 ----a-w- c:\windows\unrar.exe
2011-10-28 09:02:40 -------- d--h--w- c:\windows\update.tray-9-0-lnk
2011-10-28 09:02:40 -------- d--h--w- c:\windows\update.tray-9-0
2011-10-28 09:02:39 -------- d--h--w- c:\windows\update.tray-7-0-lnk
2011-10-28 09:02:39 -------- d--h--w- c:\windows\update.tray-7-0
.
==================== Find3M ====================
.
2011-10-10 14:22:49 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-09-28 07:06:47 602112 ----a-w- c:\windows\system32\crypt32.dll
2011-09-26 09:41:42 613376 -c--a-w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41:42 22528 -c--a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41:20 220160 -c--a-w- c:\windows\system32\oleacc.dll
2011-09-18 07:58:20 737280 -c--a-w- c:\windows\iun6002.exe
2011-09-06 14:10:02 1858944 ----a-w- c:\windows\system32\win32k.sys
2003-10-31 03:38:11 151552 -c--a-w- c:\program files\RunGame.exe
2003-10-31 03:30:12 4000458 -c--a-w- c:\program files\Speed.exe
2002-02-23 10:07:40 4231168 -c--a-w- c:\program files\game.exe
.
============= FINISH: 9:09:25,43 ===============

Zdravím
máte vir z facebooku, ale to vyléčíme..

Stáhněte program RogueKiller

• Spuste program
• Stiskněte klávesu 2 a enter
• Objeví se vám log a ten sem vložte
• Stějně tak opakujte s volbou 3 a 4 a vložte logy

Program nepoužívejte bez doporučení Rádce a pozorně se řiďte následujících pokynu,protože program netoleruje chyby a může dojít k úplnému poškození systému!!

• Stáhneme si Combofix
• Program uložíme nejlépe na Plochu
• Vypneme všechny rezidentní štíty.Jak antiviru,tak antispywaru a firewallu
• Vypneme všechny běžící aplikace (ICQ,prohlížeč,programy) a necháme pouze Combofix
• Spustíme Combofix.exe s administrátorským oprávněním
  U Windows XP se přihlásíme pod účtem správce
  Ve Windows 7 a Vista klikněte pravým tlačítkem myši na Combofix.exe a dejte ,,Spustit jako správce,,)
• Hned po startu programu na vás vyskočí licenční podmínky,tak potvrdíme tlačítkemANO
• Pokud vám Combofix nabídne instalaci Konzoly pro zotavení,tak souhlaste a nechte nainstalovat(zde je potřeba aktivní připojení na internet)
• Pokračujte dle pokynů programu a během skenování na nic neklikejte,na pc nepracujte(ICQ,jiné aplikace,internet..).Nechte počítač v klidu.
• Celý sken tvá mezi 5-15 min,ale pokud je v PC hodně havěti,tak se čas může lišit.
• Po skončení skenování(případném restartu počítače) se vám zobrazí log z Combofixu,který mi vložte sem(Kdyby se log nezobrazil,tak jej najdete zde: C:\ComboFix.txt
• (Pokud si nevíte rady s kterýmkoliv z výše uvedených kroků,tak se ptejte nebo mrkněte na detailnější návod včetně obrázků http://www.bleepingcomputer.com/combofi ... t-combofix )

Posílám ty logy:


RogueKiller V6.1.10 [11/18/2011] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/fi ... guekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: Rothová [Admin rights]
Mode: Remove -- Date : 11/26/2011 09:44:59

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 2 ¤¤¤
[BLACKLIST] HKLM\[...]\Root : LEGACY_SRVBTCCLIENT () -> DELETED
[BLACKLIST] HKLM\[...]\Root : LEGACY_SRVIECHECK () -> DELETED

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost
127.0.0.1 facebook.com
127.0.0.1 www.facebook.com
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
[...]


Finished : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt



RogueKiller V6.1.10 [11/18/2011] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/fi ... guekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: Rothová [Admin rights]
Mode: HOSTSFix -- Date : 11/26/2011 09:46:03

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost
127.0.0.1 facebook.com
127.0.0.1 www.facebook.com
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
[...]


¤¤¤ Resetted HOSTS: ¤¤¤
127.0.0.1 localhost

Finished : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt

RogueKiller V6.1.10 [11/18/2011] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/fi ... guekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: Rothová [Admin rights]
Mode: ProxyFix -- Date : 11/26/2011 09:46:26

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Registry Entries: 0 ¤¤¤

Finished : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt

vynikající pokračujte dále...

Dostal jsem hlášku že Combofix zjistil že je zapnutý rezidentní štít Avastu, ale já nevím jak ho mám ukončit, protože ikonku Avastu u hodin nemám a ve SAprávci úloh / Procesy - ho pod jménem Avast nebo podobně nevidím.
Prosím jak mám ten rezidentní štít ukončit?

Zde je log z Combofix:


ComboFix 11-11-26.01 - Rothová 26.11.2011 10:19:53.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.510.168 [GMT 1:00]
Spuštěný z: c:\documents and settings\Rothovß\Plocha\ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 090429-0] *Enabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\speed.exe
c:\windows\btc_client_iplist.txt
c:\windows\front_ip_list.txt
c:\windows\geoiplist
c:\windows\geoiplist.rar
c:\windows\iecheck_iplist.txt
c:\windows\info1
c:\windows\iplist.txt
c:\windows\iun6002.exe
c:\windows\loader2.exe_ok
c:\windows\phoenix
c:\windows\phoenix.rar
c:\windows\phoenix\kernels\phatk\__init__.py
c:\windows\phoenix\kernels\phatk\BFIPatcher.py
c:\windows\phoenix\kernels\phatk\kernel.cl
c:\windows\phoenix\kernels\poclbm\__init__.py
c:\windows\phoenix\kernels\poclbm\BFIPatcher.py
c:\windows\phoenix\kernels\poclbm\kernel.cl
c:\windows\phoenix\phoenix.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\rpcminer.rar
c:\windows\system32\auto.exe
c:\windows\system32\drivers\etc\HSTS~1
c:\windows\ufa.rar
c:\windows\update.2
c:\windows\update.5.0
c:\windows\winlog-dirs.txt
c:\windows\winlog-ids.txt
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-10-26 do 2011-11-26 )))))))))))))))))))))))))))))))
.
.
2011-11-26 08:50 . 2011-11-26 08:50 -------- d-----w- c:\program files\CCleaner
2011-11-26 06:11 . 2011-11-26 06:11 -------- d-----w- c:\program files\Loaris
2011-11-26 00:17 . 2011-11-26 08:51 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-25 20:03 . 2011-11-25 20:03 -------- d-----w- c:\documents and settings\Rothová\Data aplikací\Malwarebytes
2011-11-25 20:03 . 2011-11-25 20:03 -------- dc----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-11-25 20:03 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-25 20:03 . 2011-11-25 20:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-11-25 19:31 . 2011-11-26 06:06 -------- d-----w- c:\program files\PC Tools Security
2011-11-25 19:31 . 2011-11-26 06:06 -------- d-----w- c:\program files\Common Files\PC Tools
2011-11-25 19:31 . 2011-11-26 00:20 -------- dc--a-w- c:\documents and settings\All Users\Data aplikací\TEMP
2011-11-25 19:29 . 2011-11-26 00:20 -------- dc----w- c:\documents and settings\All Users\Data aplikací\PC Tools
2011-10-29 07:05 . 2011-10-29 07:05 -------- d-----w- c:\program files\AMD APP
2011-10-29 07:05 . 2011-10-29 07:05 -------- d-----w- c:\program files\ATI
2011-10-29 06:54 . 2011-10-29 06:54 -------- dc----w- C:\ATI
2011-10-29 06:48 . 2011-10-29 06:48 -------- d-----w- c:\windows\ufa
2011-10-28 12:18 . 2011-10-28 12:18 -------- dc----r- c:\documents and settings\NetworkService\Oblíbené položky
2011-10-28 10:16 . 2011-10-28 10:16 -------- dc----r- c:\documents and settings\LocalService\Oblíbené položky
2011-10-28 09:07 . 2011-11-26 06:15 246272 ----a-w- c:\windows\unrar.exe
2011-10-28 09:04 . 2011-10-28 09:04 -------- dc----w- c:\documents and settings\NetworkService\Nabídka Start
2011-10-28 09:02 . 2011-11-25 21:27 -------- d--h--w- c:\windows\update.tray-9-0
2011-10-28 09:02 . 2011-10-28 09:02 -------- d--h--w- c:\windows\update.tray-9-0-lnk
2011-10-28 09:02 . 2011-11-25 21:27 -------- d--h--w- c:\windows\update.tray-7-0
2011-10-28 09:02 . 2011-10-28 09:02 -------- d--h--w- c:\windows\update.tray-7-0-lnk
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-10 14:22 . 2005-09-03 17:22 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-09-28 07:06 . 2001-10-25 12:00 602112 ----a-w- c:\windows\system32\crypt32.dll
2011-09-26 09:41 . 2008-07-29 17:59 613376 -c--a-w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2001-10-25 12:00 22528 -c--a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2001-10-25 12:00 220160 -c--a-w- c:\windows\system32\oleacc.dll
2011-09-06 14:10 . 2001-10-25 12:00 1858944 ----a-w- c:\windows\system32\win32k.sys
2003-10-31 03:38 . 2005-09-09 16:58 151552 -c--a-w- c:\program files\RunGame.exe
2003-10-31 03:30 . 2005-09-09 16:58 4000458 -c--a-w- c:\program files\Speed.exe
2002-02-23 10:07 . 2007-07-21 12:41 4231168 -c--a-w- c:\program files\game.exe
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\documents and settings\Rothová\Dokumenty\soud\TomTom HOME 2\TomTomHOMERunner.exe" [2011-03-09 247728]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [N/A]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableSecureUIAPaths"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"DisableThumbnailCache"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"c:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Documents and Settings\\Rothová\\Dokumenty\\Downloads\\Flash-Player.exe"=
"c:\\WINDOWS\\update.tray-7-0-lnk\\svchost.exe"=
.
R3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [26.11.2011 1:17 111872]
R4 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S2 gupdate1c9c5b316c755b0;Služba Google Update (gupdate1c9c5b316c755b0);c:\program files\Google\Update\GoogleUpdate.exe [25.4.2009 15:35 133104]
S2 TomTomHOMEService;TomTomHOMEService;c:\documents and settings\Rothová\Dokumenty\soud\TomTom HOME 2\TomTomHOMEService.exe [9.3.2011 13:30 92592]
S3 AME;PC Camera(6029 CIF);c:\windows\system32\drivers\pfc027.sys [24.2.2005 11:29 162176]
S3 CoachVid;CoachVid;c:\windows\system32\drivers\CoachVid.sys [5.10.2008 12:38 45344]
S3 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [25.4.2009 15:35 133104]
S3 PAC207;SoC PC-Camer@;c:\windows\system32\drivers\pfc027.sys [24.2.2005 11:29 162176]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - MBAMSWISSARMY
.
Obsah adresáře 'Naplánované úlohy'
.
2011-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-25 14:35]
.
2011-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-25 14:35]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-26 10:28
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(572)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2011-11-26 10:31:33
ComboFix-quarantined-files.txt 2011-11-26 09:31
ComboFix2.txt 2011-11-25 23:32
.
Před spuštěním: Volných bajtů: 18 611 036 160
Po spuštění: Volných bajtů: 18 664 366 080
.
- - End Of File - - 00D2ECFC682ECCD5EDD771D858613994

Otevřeme si Poznámkový blok

• (stiskneme klávesovou kombinaci WIN+R a napíšeme ,,notepad,, bez úvozovek a dáme enter)
• Vložíme do něj následující script:

  Kód: Vybrat vše

  
  KillAll::
  
  Folder::
  c:\windows\ufa
  c:\windows\update.tray-9-0
  c:\windows\update.tray-9-0-lnk
  c:\windows\update.tray-7-0
  c:\windows\update.tray-7-0-lnk
  
  File::
  c:\windows\unrar.exe
  c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
  c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
  
  Registry::
  [HKEY_LOCAL_MACHINE\software\microsoft\security center]
  "DisableThumbnailCache"=dword:00000000
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
  "EnableFirewall"=dword:00000001
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
  "c:\\Documents and Settings\\Rothová\\Dokumenty\\Downloads\\Flash-Player.exe"=-
  "c:\\WINDOWS\\update.tray-7-0-lnk\\svchost.exe"=-
  
  Driver::
  gupdate1c9c5b316c755b0
  gupdatem
  
  DDS::
  IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
  
  Reboot::
  

• Soubor uložíme na Plochu jako CFScript.txt
• Poté tento soubor uchopíme levým tlačítkem myši a přetáhneme na ikonu Combofixu a upustíme
  
  
• Poté Combofix provede všechny operace a udělá nový log,který sem vložte

Může se stát,že po aplikaci scriptu nenaběhne Windows běžným způsobem.V tomto případě restartujte počítač a při startu mačkejte F8 a zvolte možnost Poslední známá funkční konfigurace