NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Zpráva

BlackVeil · #1 Příspěvek od **BlackVeil** » 17 pro 2009 14:56

zdravim odborniky, asi pred dvema hodinama mi zacal nod32 hlasit infekci spousty souboru trojskym konem Win32/Agent.QMR ... na upozorneni zakladam svuj topic ... muzu tady hodit log z rsit ? jsem tady prvne a nevim jak to tady chodi ... jinak jeste k problemu, zkousel jsem spustit sken pomoci mbam, ale vzdy se to po nejake dobe sekne

BlackVeil · #2 Příspěvek od **BlackVeil** » 17 pro 2009 20:00

Logfile of random's system information tool 1.06 (written by random/random)
Run by David at 2009-12-17 14:29:16
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 4 GB (12%) free of 35 GB
Total RAM: 446 MB (22% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:30:37, on 17.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wgp.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\David\Plocha\RSIT.exe
C:\Program Files\trend micro\David.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WinGuard Pro] C:\WINDOWS\system32\wgp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: siszyd32.exe
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Download by Arles Download Manager - C:\Documents and Settings\David\Local Settings\Data aplikací\Ariel Download Manager\DownloadManager.htm
O8 - Extra context menu item: Download with Rapget - C:\Documents and Settings\David\Plocha\rapget138\rapget.htm
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 0058311609
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D5FC408-0664-49FC-91D0-07D27AD77474}: NameServer = 80.82.150.2,80.82.144.142
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: spupdsvc - Unknown owner - (no file)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 10933 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll [2007-09-25 501136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll [2008-12-09 958200]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"=C:\Program Files\Realtek\InstallShield\AzMixerSel.exe [2006-04-14 53248]
"PCMService"=C:\Program Files\Acer\Acer Arcade\PCMService.exe [2006-04-27 151552]
"Acer ePresentation HPD"=C:\Acer\Empowering Technology\ePresentation\ePresentation.exe [2006-03-31 204800]
"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-18 208952]
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [2004-08-18 59392]
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-18 455168]
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-18 455168]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"ePower_DMC"=C:\Acer\Empowering Technology\ePower\ePower_DMC.exe [2006-05-30 421888]
"Boot"=C:\Acer\Empowering Technology\ePower\Boot.exe [2006-03-15 579584]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2006-03-03 761946]
"LManager"=C:\PROGRA~1\LAUNCH~1\LManager.exe [2006-06-23 602112]
"ATICCC"=C:\Program Files\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []
"WinGuard Pro"=C:\WINDOWS\system32\wgp.exe [2005-05-24 507904]
"Kernel and Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2007-11-29 55824]
"SpywareTerminator"=C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe [2009-07-15 2173440]
"nod32kui"=C:\Program Files\Eset\nod32kui.exe [2009-05-30 949376]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-14 1695232]
"Skype"=C:\Program Files\Skype\\Phone\Skype.exe [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe [2004-04-13 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Program Files\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [2007-03-01 153136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDF4 Registry Controller]
C:\Program Files\ScanSoft\PDF Professional 4.0\\RegistryController.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\qttask.exe [2007-04-27 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uninstall_CToolbar]
C:\DOCUME~1\David\LOCALS~1\Temp\CUninst.exe /remove []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
c:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Logitech SetPoint.lnk]
C:\PROGRA~1\Logitech\SetPoint\SetPoint.exe [2008-01-09 789008]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^David^Nabídka Start^Programy^Po spuštění^Find Favorites.lnk]
C:\PROGRA~1\FINDFA~1\ff.exe [2006-02-25 1203712]

C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění
Acer Empowering Technology.lnk - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Documents and Settings\David\Nabídka Start\Programy\Po spuštění
PowerReg Scheduler.exe
siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-04-27 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"=C:\PROGRA~1\WIFD1F~1\MpShHook.dll [2006-11-03 83224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=91000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Acer\Acer Arcade\PCMService.exe"="C:\Program Files\Acer\Acer Arcade\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\Program Files\ICQLite\ICQLite.exe"="C:\Program Files\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Program Files\Common Files\NewTech Infosystems\LiveUpdate\LiveUpdate.exe"="C:\Program Files\Common Files\NewTech Infosystems\LiveUpdate\LiveUpdate.exe:*:Enabled:LiveUpdate"
"C:\Documents and Settings\David\Plocha\rapget132\rapget.exe"="C:\Documents and Settings\David\Plocha\rapget132\rapget.exe:*:Enabled:rapget"
"C:\Documents and Settings\David\Plocha\rapget136\rapget.exe"="C:\Documents and Settings\David\Plocha\rapget136\rapget.exe:*:Enabled:rapget"
"C:\Documents and Settings\David\Plocha\Foxit_Reader__editor__converter\Foxit Reader, editor, converter\Foxit PDF Editor\p0lg3VsHx5\crack\PDFEdit.exe"="C:\Documents and Settings\David\Plocha\Foxit_Reader__editor__converter\Foxit Reader, editor, converter\Foxit PDF Editor\p0lg3VsHx5\crack\PDFEdit.exe:*:Enabled:Foxit PDF Editor, the first REAL editor for PDF files!"
"C:\Program Files\uTorrent\utorrent.exe"="C:\Program Files\uTorrent\utorrent.exe:*:Disabled:µTorrent"
"C:\Program Files\Microsoft Games\Age of Empires II\Empires2.Exe"="C:\Program Files\Microsoft Games\Age of Empires II\Empires2.Exe:*:Disabled:Age of Empires II"
"C:\Program Files\ICQ6\ICQ.exe"="C:\Program Files\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\ICQ6.5\ICQ.exe"="C:\Program Files\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Program Files\Skype\Plugin Manager\skypePM.exe"="C:\Program Files\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\Program Files\Opera\opera.exe"="C:\Program Files\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29f57f2e-6a8a-11dd-a76e-0016d45a5dbe}]
shell\AutoRun\command - H:\WDSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad18e9d6-63b5-11dc-a5ee-0016d45a5dbe}]
shell\AutoRun\command - F:\AutoRun.exe

======List of files/folders created in the last 1 months======

2009-12-17 14:29:21 ----D---- C:\Program Files\trend micro
2009-12-17 14:29:16 ----D---- C:\rsit
2009-12-17 12:43:30 ----D---- C:\Documents and Settings\David\Data aplikací\Malwarebytes
2009-12-17 12:42:38 ----D---- C:\Documents and Settings\All Users\Data aplikací\Malwarebytes
2009-12-17 12:42:28 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-12-10 07:24:43 ----HD---- C:\WINDOWS\$NtUninstallKB970430$
2009-12-10 07:18:52 ----HD---- C:\WINDOWS\$NtUninstallKB974318$
2009-12-10 07:14:16 ----HD---- C:\WINDOWS\$NtUninstallKB973904$
2009-12-10 07:14:01 ----HD---- C:\WINDOWS\$NtUninstallKB974392$
2009-12-10 07:13:38 ----HD---- C:\WINDOWS\$NtUninstallKB971737$
2009-12-07 09:29:02 ----D---- C:\Program Files\Common Files\PCSuite
2009-12-07 09:28:47 ----D---- C:\Program Files\Common Files\Nokia
2009-12-07 09:25:20 ----D---- C:\Program Files\PC Connectivity Solution
2009-11-28 08:40:46 ----D---- C:\WINDOWS\Internet Logs
2009-11-28 08:38:12 ----D---- C:\Program Files\Cisco Systems
2009-11-26 11:26:30 ----D---- C:\Program Files\xrecode II
2009-11-26 07:00:03 ----HD---- C:\WINDOWS\$NtUninstallKB976098-v2$
2009-11-26 06:59:37 ----HD---- C:\WINDOWS\$NtUninstallKB973687$
2009-11-23 07:23:34 ----D---- C:\Program Files\Common Files\Skype

======List of files/folders modified in the last 1 months======

2009-12-10 12:13:14 ----A---- C:\WINDOWS\NeroDigital.ini
2009-12-10 07:48:00 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-12-07 12:48:28 ----A---- C:\WINDOWS\wincmd.ini
2009-12-07 09:27:34 ----A---- C:\WINDOWS\ModemLog_Nokia 6230 Bluetooth Modem.txt
2009-12-02 10:57:08 ----A---- C:\WINDOWS\WINTRAN.INI
2009-12-01 21:06:20 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;Ovladač procesoru AMD; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-05-10 43008]
R1 nod32drv;nod32drv; C:\WINDOWS\system32\drivers\nod32drv.sys [2009-05-30 15424]
R1 sp_rsdrv2;Spyware Terminator Driver 2; \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys []
R1 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832]
R1 WS2IFSL;Podpůrné prostředí zprostředkovatele služeb Windows Socket 2.0 bez podpory IFS; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-18 12032]
R2 AMON;AMON; C:\WINDOWS\system32\drivers\amon.sys [2009-05-30 512096]
R2 BTSERIAL;Bluetooth Serial Driver; \??\C:\WINDOWS\system32\drivers\btserial.sys []
R2 BTSLBCSP;Bluetooth Port Client Driver; \??\C:\WINDOWS\system32\drivers\btslbcsp.sys []
R2 DritekPortIO;Dritek General Port I/O; \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys []
R2 int15;int15; \??\C:\WINDOWS\system32\drivers\int15.sys []
R2 irda;Protokol IrDA; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2006-02-14 12672]
R2 tvicport;tvicport; \??\C:\WINDOWS\system32\drivers\tvicport.sys []
R2 zntport;zntport; \??\C:\WINDOWS\system32\drivers\zntport.sys []
R3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2006-01-24 488448]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-04-27 1540096]
R3 BTKRNL;Bluetooth Bus Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2004-11-29 1337850]
R3 CmBatt;Microsoft ACPI Control Method Battery Driver; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 DKbFltr;Dritek Keyboard Filter Driver; C:\WINDOWS\system32\DRIVERS\DKbFltr.sys [2004-12-07 16896]
R3 EMSCR;EMSCR; C:\WINDOWS\system32\DRIVERS\EMS7SK.sys [2006-05-24 61056]
R3 ESDCR;ESDCR; C:\WINDOWS\system32\DRIVERS\ESD7SK.sys [2006-05-24 40064]
R3 ESMCR;ESMCR; C:\WINDOWS\system32\DRIVERS\ESM7SK.sys [2006-05-24 74752]
R3 HDAudBus;Ovladač Microsoft UAA pro sběrnici High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2006-06-12 990592]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2006-06-12 208384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
R3 moufiltr;Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\moufiltr.sys [2008-02-18 62592]
R3 NTIDrvr;Upper Class Filter Driver; C:\WINDOWS\system32\DRIVERS\NTIDrvr.sys [2006-06-02 6144]
R3 Rasirda;WAN Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-18 5888]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-06-16 83968]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
R3 usbehci;Ovladač miniportu rozšířeného radiče hostitele Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Rozbočovač umožnující USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Ovladač Miniport otevřeného hostitelského řadiče Microsoft USB; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2006-06-12 727808]
S3 Arp1394;Protokol 1394 ARP Client; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 btaudio;Bluetooth Audio Device; C:\WINDOWS\system32\drivers\btaudio.sys []
S3 BTDriver;Bluetooth Virtual Communications Driver; C:\WINDOWS\system32\DRIVERS\btport.sys []
S3 BthEnum;Služba Bluetooth Enumerator; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
S3 BthPan;Bluetooth Device (Personal Area Network); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2004-08-18 100992]
S3 BTHPORT;Ovladač portu Bluetooth; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 272128]
S3 BTHUSB;Ovladač rozhraní USB radiostanice Bluetooth; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-18 18944]
S3 BTWDNDIS;Bluetooth LAN Access Server; C:\WINDOWS\system32\DRIVERS\btwdndis.sys []
S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys []
S3 CCDECODE;Dekodér Closed Caption; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 HidUsb;Ovladač třídy standardu HID; C:\WINDOWS\system32\DRIVERS\hidusb.sys []
S3 HSXHWAZL;HSXHWAZL; C:\WINDOWS\system32\DRIVERS\HSXHWAZL.sys []
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys []
S3 irsir;Microsoft Serial Infrared Driver; C:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688]
S3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys []
S3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys []
S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
S3 mouhid;Ovladač myši standardu HID; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-24 12160]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;1394 Net Driver; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys []
S3 Pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\Pcouffin.sys []
S3 RFCOMM;Zařízení Bluetooth (RFCOMM protokol TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2004-08-18 59648]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-18 11136]
S3 SMCIRDA;SMSC IrCC Miniport Device Driver; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2004-12-09 46592]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-18 15360]
S3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys []
S3 usbaudio;Ovladač zvukové karty USB (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Obecný nadřazený ovladač Microsoft USB; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-18 31616]
S3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-18 26496]
S3 usbvideo;Zobrazovací zařízení USB (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-13 121984]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys []
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys []
S3 WSTCODEC;Dálnopisný kodek světového standardu; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys []
S4 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2008-11-16 131984]
S4 sr;Ovladač filtru Obnovy systému; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73344]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcerMemUsageCheckService;Memory Check Service; C:\Acer\Empowering Technology\ePerformance\MemCheck.exe [2006-03-29 28672]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-04-27 405504]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 btwdins;Bluetooth Service; C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe [2004-11-29 254007]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe [2006-04-27 254050]
R2 CLSched;CyberLink Task Scheduler (CTS); C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe [2006-04-27 114784]
R2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe [2006-04-27 61440]
R2 Irmon;Sledování infračerveného přenosu; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-06-28 79136]
R2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2007-10-12 71096]
R2 NOD32krn;NOD32 Kernel Service; C:\Program Files\Eset\nod32krn.exe [2009-05-30 552064]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2005-01-21 143360]
R2 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Program Files\Spyware Terminator\sp_rsser.exe [2009-07-15 487424]
R2 WinDefend;Windows Defender; C:\Program Files\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-04-13 792112]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2007-06-01 271920]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 ServiceLayer;ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2009-10-27 657408]
S3 WMPNetworkSvc;Služba Windows Media Player Network Sharing; C:\Program Files\Windows Media Player\WMPNetwk.exe [2007-01-05 913920]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

BlackVeil · #3 Příspěvek od **BlackVeil** » 17 pro 2009 20:02

a jeste spousta souboru z nodu

Čas Modul Objekt Jméno Virus Akce Uživatel Informace
17.12.2009 10:43:36 AMON soubor C:\WINDOWS\system32\drivers\31361046792111.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:36 AMON soubor C:\WINDOWS\system32\drivers\wudfrd.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:36 AMON soubor C:\WINDOWS\system32\drivers\wstcodec.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:35 AMON soubor C:\WINDOWS\system32\drivers\wpdusb.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:35 AMON soubor C:\WINDOWS\system32\drivers\WDICA.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:34 AMON soubor C:\WINDOWS\system32\drivers\wdf01000.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:33 AMON soubor C:\WINDOWS\system32\drivers\usbvideo.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:33 AMON soubor C:\WINDOWS\system32\drivers\usbstor.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:32 AMON soubor C:\WINDOWS\system32\drivers\usbccgp.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:32 AMON soubor C:\WINDOWS\system32\drivers\usbaudio.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:32 AMON soubor C:\WINDOWS\system32\drivers\TDTCP.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:29 AMON soubor C:\WINDOWS\system32\drivers\TDPIPE.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:28 AMON soubor C:\WINDOWS\system32\drivers\syntp.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:28 AMON soubor C:\WINDOWS\system32\drivers\swmidi.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:27 AMON soubor C:\WINDOWS\system32\drivers\streamip.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:27 AMON soubor C:\WINDOWS\system32\drivers\splitter.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:27 AMON soubor C:\WINDOWS\system32\drivers\smcirda.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:26 AMON soubor C:\WINDOWS\system32\drivers\slip.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:25 AMON soubor C:\WINDOWS\system32\drivers\Sfloppy.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:25 AMON soubor C:\WINDOWS\system32\drivers\Serial.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:24 AMON soubor C:\WINDOWS\system32\drivers\secdrv.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:24 AMON soubor C:\WINDOWS\system32\drivers\rfcomm.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:23 AMON soubor C:\WINDOWS\system32\drivers\RDPWD.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:23 AMON soubor C:\WINDOWS\system32\drivers\rdpdr.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:22 AMON soubor C:\WINDOWS\system32\drivers\processr.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:22 AMON soubor C:\WINDOWS\system32\drivers\PDRFRAME.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:21 AMON soubor C:\WINDOWS\system32\drivers\PDRELI.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:20 AMON soubor C:\WINDOWS\system32\drivers\PDFRAME.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:20 AMON soubor C:\WINDOWS\system32\drivers\PDCOMP.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:19 AMON soubor C:\WINDOWS\system32\drivers\pcouffin.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:18 AMON soubor C:\WINDOWS\system32\drivers\PCIDump.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:17 AMON soubor C:\WINDOWS\system32\drivers\pccsmcfd.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:16 AMON soubor C:\windows\system32\pcandis5.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:16 AMON soubor C:\windows\system32\pcampr5.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:43:06 AMON soubor C:\WINDOWS\system32\drivers\Parport.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:57 AMON soubor C:\WINDOWS\system32\drivers\nwlnkfwd.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:50 AMON soubor C:\WINDOWS\system32\drivers\nwlnkflt.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:38 AMON soubor C:\WINDOWS\system32\drivers\nic1394.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:32 AMON soubor C:\WINDOWS\system32\drivers\ndisip.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:27 AMON soubor C:\WINDOWS\system32\drivers\nabtsfec.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:17 AMON soubor C:\WINDOWS\system32\drivers\mstee.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:10 AMON soubor C:\WINDOWS\system32\drivers\mspqm.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:04 AMON soubor C:\WINDOWS\system32\drivers\mspclock.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:42:02 AMON soubor C:\WINDOWS\system32\drivers\mskssrv.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:41:38 AMON soubor C:\WINDOWS\system32\drivers\mouhid.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:41:36 AMON soubor C:\WINDOWS\system32\drivers\lmoufilt.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:41:35 AMON soubor C:\WINDOWS\system32\drivers\lhidfilt.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:41:33 AMON soubor C:\WINDOWS\system32\drivers\lbrtfdc.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:41:31 AMON soubor C:\WINDOWS\system32\drivers\kmixer.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:41:29 AMON soubor C:\WINDOWS\system32\drivers\irsir.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:41:24 AMON soubor C:\WINDOWS\system32\drivers\irenum.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:41:21 AMON soubor C:\WINDOWS\system32\drivers\ipinip.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:40:58 AMON soubor C:\WINDOWS\system32\drivers\ipfltdrv.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:40:53 AMON soubor C:\WINDOWS\system32\drivers\ip6fw.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:40:46 AMON soubor C:\WINDOWS\system32\drivers\ewusbmdm.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:44 AMON soubor C:\WINDOWS\system32\drivers\hsxhwazl.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:42 AMON soubor C:\WINDOWS\system32\drivers\hidusb.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:37 AMON soubor C:\WINDOWS\system32\drivers\Flpydisk.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:34 AMON soubor C:\WINDOWS\system32\drivers\Fdc.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:31 AMON soubor C:\documents and settings\david\local settings\temp\{70d69893-7825-4c23-a375-c7bd87f6aef7}\fsgk.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:27 AMON soubor C:\windows\system32\elock2fsctldriver.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:25 AMON soubor C:\windows\system32\elock2burnerlockdriver.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:23 AMON soubor C:\WINDOWS\system32\drivers\drmkaud.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:22 AMON soubor C:\WINDOWS\system32\drivers\dmusic.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:16 AMON soubor C:\WINDOWS\system32\drivers\cvirta.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:10 AMON soubor C:\WINDOWS\system32\drivers\Changer.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:08 AMON soubor C:\WINDOWS\system32\drivers\Cdaudio.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:06 AMON soubor C:\WINDOWS\system32\drivers\ccdecode.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:04 AMON soubor C:\WINDOWS\system32\drivers\btwusb.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:36:03 AMON soubor C:\WINDOWS\system32\drivers\btwdndis.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:35:59 AMON soubor C:\WINDOWS\system32\drivers\bthusb.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:35:54 AMON soubor C:\WINDOWS\system32\drivers\bthport.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:35:37 AMON soubor C:\WINDOWS\system32\drivers\bthpan.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:35:20 AMON soubor C:\WINDOWS\system32\drivers\bthenum.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:35:10 AMON soubor C:\WINDOWS\system32\drivers\btport.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:35:07 AMON soubor C:\WINDOWS\system32\drivers\btaudio.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:35:01 AMON soubor C:\WINDOWS\system32\drivers\atmarpc.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:34:50 AMON soubor C:\WINDOWS\system32\drivers\asyncmac.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:34:48 AMON soubor C:\WINDOWS\system32\drivers\arp1394.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:34:46 AMON soubor C:\WINDOWS\system32\drivers\aec.sys Win32/Agent.QMR trojský kůň uložen do karantény - smazán ACER-C2F6E9E296\David Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\TEMP\~TM990.tmp. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:34:37 AMON soubor C:\WINDOWS\TEMP\~TM990.tmp varianta infiltrace Win32/Kryptik.BKZ trojský kůň uložen do karantény - smazán NT AUTHORITY\SYSTEM Táto skutočnosť bola zistená na súbore, ktorý bol modifikovaný aplikáciou: C:\WINDOWS\system32\svchost.exe. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
17.12.2009 10:34:24 AMON soubor C:\WINDOWS\TEMP\~TM98F.tmp varianta infiltrace Win32/Kryptik.BKZ trojský kůň uložen do karantény - smazán NT AUTHORITY\SYSTEM Táto skutočnosť bola zistená na súbore, ktorý bol modifikovaný aplikáciou: C:\WINDOWS\system32\svchost.exe. Soubor byl přesunut do karantény. Můžete zavřít toto okno.

BlackVeil · #4 Příspěvek od **BlackVeil** » 17 pro 2009 20:13

tak zatim toto ke combofixu

ComboFix is not available for download until an issue with the program has been resolved. Please be patient while the developer fixes the program and makes it available once again. As more information becomes available, we will update this page.

DO NOT attempt to download ComboFix from sites other than BleepingComputer.com and Forospyware.com!

Other sites hosting ComboFix are not authorized mirrors and are hosting outdated copies of ComboFix that contain a bug that may render some machines unbootable. Using unauthorized mirrors of ComboFix puts your computer at risk of not booting again. Please wait for the official version to be fixed and released again.

We will also announce when ComboFix is available on our Twitter and Facebook pages.

takze jdu na ten kittfix

BlackVeil · #5 Příspěvek od **BlackVeil** » 17 pro 2009 20:50

ComboFix 09-12-16.05 - David 17.12.2009 20:30:33.1.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.446.112 [GMT 1:00]
Spuštěný z: c:\documents and settings\David\Plocha\KittyFix.exe
AV: Eset NOD32 Antivirus 2.70 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Rezidentní štít AV je zapnutý

.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\David\Dokumenty\cc_20090130_100059.reg
c:\windows\system32\skinboxer43.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-11-17 do 2009-12-17 )))))))))))))))))))))))))))))))
.

2009-12-17 13:29 . 2009-12-17 13:29 -------- d-----w- c:\program files\trend micro
2009-12-17 13:29 . 2009-12-17 13:29 -------- d-----w- C:\rsit
2009-12-17 11:42 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-17 11:42 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-17 11:42 . 2009-12-17 11:42 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-17 09:49 . 2009-12-17 09:49 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2009-12-17 09:36 . 2004-08-18 19:00 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2009-12-17 09:36 . 2004-08-18 19:00 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2009-12-17 09:36 . 2008-04-13 19:45 172416 ----a-w- c:\windows\system32\drivers\kmixer.sys
2009-12-17 09:36 . 2008-04-13 19:45 172416 ----a-w- c:\windows\system32\dllcache\kmixer.sys
2009-12-17 09:36 . 2001-08-17 20:51 18688 ----a-w- c:\windows\system32\drivers\irsir.sys
2009-12-17 09:36 . 2001-08-17 20:51 18688 ----a-w- c:\windows\system32\dllcache\irsir.sys
2009-12-17 09:34 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\drivers\Changer.sys
2009-12-17 09:34 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2009-12-07 08:29 . 2009-12-07 08:29 -------- d-----w- c:\program files\Common Files\PCSuite
2009-12-07 08:28 . 2009-12-07 08:28 -------- d-----w- c:\program files\Common Files\Nokia
2009-12-07 08:25 . 2009-12-07 08:25 -------- d-----w- c:\program files\PC Connectivity Solution
2009-11-28 07:40 . 2009-11-28 07:40 -------- d-----w- c:\windows\Internet Logs
2009-11-28 07:38 . 2009-11-28 07:38 -------- d-----w- c:\program files\Cisco Systems
2009-11-26 10:26 . 2009-11-26 10:26 -------- d-----w- c:\program files\xrecode II
2009-11-23 06:23 . 2009-11-23 06:23 -------- d-----w- c:\program files\Common Files\Skype

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-17 19:22 . 2007-02-28 10:14 12 ----a-w- c:\windows\bthservsdp.dat
2009-12-10 06:48 . 2006-06-02 16:20 442148 ----a-w- c:\windows\system32\perfh005.dat
2009-12-10 06:48 . 2006-06-02 16:20 84866 ----a-w- c:\windows\system32\perfc005.dat
2009-11-12 18:01 . 2009-11-12 18:01 -------- d-----w- c:\program files\Cryo Interactive Entertainment
2009-11-02 19:42 . 2009-10-03 07:25 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-29 07:43 . 2006-01-09 19:08 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:40 . 2004-08-18 19:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:40 . 2004-08-18 19:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-18 19:00 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-13 10:34 . 2004-08-18 19:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:40 . 2004-08-18 19:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:40 . 2004-08-18 19:00 150016 ----a-w- c:\windows\system32\rastls.dll
2009-10-06 10:52 . 2005-10-13 07:15 91136 ----a-w- c:\windows\system32\nmwcdcls.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2006-04-14 53248]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2006-04-27 151552]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 204800]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-18 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-18 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-18 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-18 455168]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-05-30 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-06-23 602112]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"WinGuard Pro"="c:\windows\system32\wgp.exe" [2005-05-24 507904]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 55824]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-07-15 2173440]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-05-30 949376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]

c:\documents and settings\David\Nabˇdka Start\Programy\Po spuçtŘnˇ\
PowerReg Scheduler.exe [2008-3-2 0]
siszyd32.exe [2008-4-14 31232]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-3-27 45056]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-11-29 569405]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Logitech SetPoint.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^David^Nabídka Start^Programy^Po spuštění^Find Favorites.lnk]
path=c:\documents and settings\David\Nabídka Start\Programy\Po spuštění\Find Favorites.lnk
backup=c:\windows\pss\Find Favorites.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2004-04-13 05:07 69632 ------w- c:\program files\Common Files\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 04:22 1695232 ------w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 14:57 153136 ------w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2007-04-27 08:41 282624 ------w- c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 02:04 2879488 ------w- c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
2006-03-30 15:45 313472 ------r- c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Program Files\\Common Files\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [27.1.2009 11:13 26624]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [30.5.2009 10:39 15424]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [29.1.2009 11:40 142592]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.2.2008 20:14 715248]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [17.12.2009 12:42 38224]
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
uSearchURL,(Default) = hxxp://uk.rd.yahoo.com/customize/ycomp/defaults/su/*http://uk.yahoo.com
IE: &Download by Arles Download Manager - c:\documents and settings\David\Local Settings\Data aplikací\Ariel Download Manager\DownloadManager.htm
IE: Download with Rapget - c:\documents and settings\David\Plocha\rapget138\rapget.htm
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Send To &Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\windows\system32\imon.dll
TCP: {8D5FC408-0664-49FC-91D0-07D27AD77474} = 80.82.150.2,80.82.144.142
FF - ProfilePath - c:\documents and settings\David\Data aplikací\Mozilla\Firefox\Profiles\7jtovj4p.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - www.centrum.cz
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - component: c:\program files\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - plugin: c:\program files\Opera\program\plugins\np-mswmp.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\program files\Opera\program\plugins\nppdf32.dll
FF - plugin: c:\program files\Opera\program\plugins\npstar.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

MSConfigStartUp-PDF4 Registry Controller - c:\program files\ScanSoft\PDF Professional 4.0\\RegistryController.exe
MSConfigStartUp-Uninstall_CToolbar - c:\docume~1\David\LOCALS~1\Temp\CUninst.exe
AddRemove-Nokia Multimedia Factory{4CFB3821-1582-4F3B-BF8D-30986923B36B} - c:\documents and settings\All Users\Data aplikací\Installations\{4CFB3821-1582-4f3b-BF8D-30986923B36B}\Nokia_Multimedia_Factory_2_0.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-17 20:41
Windows 5.1.2600 Service Pack 3 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(608)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(664)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Celkový čas: 2009-12-17 20:46:13
ComboFix-quarantined-files.txt 2009-12-17 19:46

Před spuštěním: 4 303 421 440
Po spuštění: 5 123 276 800

WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 295217E508198E60D39F509F1C801D41

BlackVeil · #6 Příspěvek od **BlackVeil** » 17 pro 2009 21:44

diky moc, zitra se k tomu dostanu asi az vecer, tak zatim !

BlackVeil · #7 Příspěvek od **BlackVeil** » 17 pro 2009 23:14

nedalo mi to ...

soubor siszyd32.exe jsem smazal, kdyz chci nechat poslat na kontrolu na virustotal.com soubor PowerReg Scheduler.exe, tak mi to po kliku na odeslat soubor hlasi jenom, ze 0 bytes size receive, kdyz na neho kouknu v total commanderu, tak ma fakt 0 bajtu ... nerozumim

kdyz jsem chtel obnovit z karanteny souboru usbstor.sys, tak mi to hodilo hlasku, ze dany soubor existuje a jestli ho chci nahradit souborem z karanteny, odklik jsem ze ano, po obnoveni z karanteny mi nod opet nahlasil v tomto souboru infekci, takze zpet do karanteny

kdyz ho chci poslat na virustotal.com, tak to same co vyse ... vyskoci hlaska, ze 0 bytes size receive a nic ... pritom ma 26 kB ... tak uz jsem z toho jelen

maba sken se mi konecne podarilo provest.... viz nize...

Malwarebytes' Anti-Malware 1.42
Verze databáze: 3379
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.12.2009 21:28:48
mbam-log-2009-12-17 (21-28-48).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 99051
Uplynulý čas: 2 minute(s), 57 second(s)

Infikované procesy v paměti: 1
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 1
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 4

Infikované procesy v paměti:
C:\WINDOWS\system32\wgp.exe (Trojan.FakeAlert) -> Not selected for removal.

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winguard pro (Trojan.FakeAlert) -> Not selected for removal.

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\Documents and Settings\David\Nabídka Start\Programy\Po spuštění\siszyd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wgp.exe (Trojan.FakeAlert) -> Not selected for removal.
C:\Documents and Settings\David\Data aplikací\avdrn.dat (Malware.Trace) -> Not selected for removal.
C:\Documents and Settings\LocalService\Data aplikací\fvgqad.dat (Malware.Trace) -> Not selected for removal.

jo, a jeste, kdyz to zacalo, to vyskakovani hlasek o infekci, tak mi zkolabovala opera a i ted ji system nemuze najit ...

BlackVeil · #8 Příspěvek od **BlackVeil** » 17 pro 2009 23:28

tak se mi uz podarilo proskenovat i ten usbstor.sys

a-squared 4.5.0.43 2009.12.17 -
AhnLab-V3 5.0.0.2 2009.12.17 -
AntiVir 7.9.1.114 2009.12.17 -
Antiy-AVL 2.0.3.7 2009.12.17 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.17 -
AVG 8.5.0.427 2009.12.17 -
BitDefender 7.2 2009.12.17 -
CAT-QuickHeal 10.00 2009.12.17 -
ClamAV 0.94.1 2009.12.17 -
Comodo 3277 2009.12.17 -
DrWeb 5.0.0.12182 2009.12.17 -
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7180 2009.12.17 -
F-Prot 4.5.1.85 2009.12.16 -
F-Secure 9.0.15370.0 2009.12.17 -
Fortinet 4.0.14.0 2009.12.17 -
GData 19 2009.12.17 -
Ikarus T3.1.1.79.0 2009.12.17 -
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.17 -
McAfee 5835 2009.12.17 -
McAfee+Artemis 5835 2009.12.17 -
McAfee-GW-Edition 6.8.5 2009.12.17 -
Microsoft 1.5302 2009.12.17 -
NOD32 4697 2009.12.17 -
Norman 6.04.03 2009.12.17 -
nProtect 2009.1.8.0 2009.12.17 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.17 -
Prevx 3.0 2009.12.17 -
Rising 22.26.03.04 2009.12.17 -
Sophos 4.49.0 2009.12.17 -
Sunbelt 3.2.1858.2 2009.12.17 -
Symantec 1.4.4.12 2009.12.17 -
TheHacker 6.5.0.2.095 2009.12.17 -
TrendMicro 9.100.0.1001 2009.12.17 -
VBA32 3.12.12.0 2009.12.17 -
ViRobot 2009.12.17.2094 2009.12.17 -
VirusBuster 5.0.21.0 2009.12.17 -
Rozšiřující informace
File size: 26496 bytes
MD5...: 6cd7b22193718f1d17a47a1cd6d37e75
SHA1..: f4e190babf0318c897cf915a1841ea5fa14756ec
SHA256: cfd74fe06819da488654f88bfccbf29994fe7f04ec6cd5cd41552b0c95a8130f
ssdeep: 384:jOsAWqpJSEOUGNtpmJC1MWpxKk9J55Gkyu1SuI1J/4gjDiOwonWV8NlwW8x:
DApSEiKW15Gk7IHfJ5Ns
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5805
timedatestamp.....: 0x41107d6c (Wed Aug 04 06:08:44 2004)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x22ea 0x2300 6.32 560652a9fcdbb29367727d247619fa0a
.rdata 0x2600 0x150 0x180 3.70 49506ff9f83bb7e21d31d470d11c008a
.data 0x2780 0x64 0x80 2.50 c988bb38dc6787de76572c4d4ecfefbb
PAGE 0x2800 0x2fba 0x3000 6.55 dd55b2fcdffbed86340b4a810b141c89
INIT 0x5800 0x68c 0x700 5.24 21a56ddad79423a60e02268a1e1f9d11
.rsrc 0x5f00 0x408 0x480 3.14 9b9333b0ed5c80cae27c57666c46d634
.reloc 0x6380 0x390 0x400 5.65 d4f864b080ef09d5c4063f19fadbd458

( 3 imports )
> ntoskrnl.exe: IoCreateDevice, IoDetachDevice, ExFreePoolWithTag, IoFreeWorkItem, IoDeleteDevice, KeWaitForSingleObject, KeSetEvent, ObfReferenceObject, ExAllocatePoolWithTag, RtlAnsiStringToUnicodeString, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, RtlInitAnsiString, RtlInitUnicodeString, sprintf, IoFreeIrp, IoCancelIrp, IoAllocateIrp, KeInitializeEvent, IoSetCompletionRoutineEx, IoInitializeTimer, IofCallDriver, IoAttachDeviceToDeviceStack, IoSetStartIoAttributes, IoStartPacket, PoRequestPowerIrp, IoStopTimer, IoStartTimer, IoAllocateWorkItem, IoReleaseCancelSpinLock, KeRemoveEntryDeviceQueue, IoQueueWorkItem, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, MmMapLockedPagesSpecifyCache, memmove, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, IoBuildPartialMdl, IoAcquireCancelSpinLock, KeTickCount, KeBugCheckEx, IofCompleteRequest, IoStartNextPacket, PoStartNextPowerIrp, PoCallDriver, IoOpenDeviceRegistryKey, RtlQueryRegistryValues, KeInitializeSpinLock, ZwClose, MmHighestUserAddress, IoBuildSynchronousFsdRequest
> HAL.dll: KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock, KfRaiseIrql, KfLowerIrql
> USBD.SYS: USBD_CreateConfigurationRequestEx

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: USB Mass Storage Class Driver
original name: usbstor.sys
internal name: usbstor.sys
file version.: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
packers (Kaspersky): PE_Patch

BlackVeil · #9 Příspěvek od **BlackVeil** » 18 pro 2009 13:02

ahoj, diky za info, soubor jsem vymazal, operu uz jsem uz taky preinstaloval... v tom problem nebyl zadny ...

s tou podporou jsi to myslel jak ? co to je FP a kdy me tam posles

... logy tady hodim pozdeji .. zatim

BlackVeil · #10 Příspěvek od **BlackVeil** » 18 pro 2009 13:51

takze info z mwav

18 XII 2009 13:43:53 - ***** Scanning complete. *****
18 XII 2009 13:43:53 - Total Objects Scanned: 6932
18 XII 2009 13:43:53 - Total Critical Objects: 0
18 XII 2009 13:43:53 - Total Disinfected Objects: 0
18 XII 2009 13:43:53 - Total Objects Renamed: 0
18 XII 2009 13:43:53 - Total Deleted Objects: 0
18 XII 2009 13:43:53 - Total Errors: 23
18 XII 2009 13:43:53 - Time Elapsed: 00:02:38
18 XII 2009 13:43:53 - Virus Database Date: 06 Nov 2009
18 XII 2009 13:43:53 - Virus Database Count: 4481875
18 XII 2009 13:43:53 - Scan Completed.

jen nejake errory ...

18 XII 2009 13:42:25 - ***** Scanning Service Files *****
18 XII 2009 13:42:25 - Scanning HKLM\SYSTEM\CurrentControlSet\Services
18 XII 2009 13:42:26 - ERROR!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll in HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters. Action Taken: No Action Taken.
18 XII 2009 13:42:26 - ERROR!!! Invalid Entry system32\drivers\btaudio.sys in HKLM\SYSTEM\CurrentControlSet\Services\btaudio. Action Taken: No Action Taken.
18 XII 2009 13:42:26 - ERROR!!! Invalid Entry system32\DRIVERS\btport.sys in HKLM\SYSTEM\CurrentControlSet\Services\BTDriver. Action Taken: No Action Taken.
18 XII 2009 13:42:27 - ERROR!!! Invalid Entry system32\DRIVERS\btwdndis.sys in HKLM\SYSTEM\CurrentControlSet\Services\BTWDNDIS. Action Taken: No Action Taken.
18 XII 2009 13:42:27 - ERROR!!! Invalid Entry System32\Drivers\btwusb.sys in HKLM\SYSTEM\CurrentControlSet\Services\BTWUSB. Action Taken: No Action Taken.
18 XII 2009 13:42:27 - ERROR!!! Invalid Entry \??\C:\DOCUME~1\David\LOCALS~1\Temp\catchme.sys in HKLM\SYSTEM\CurrentControlSet\Services\catchme. Action Taken: No Action Taken.
18 XII 2009 13:42:32 - ERROR!!! Invalid Entry %SystemRoot%\System32\hidserv.dll in HKLM\SYSTEM\CurrentControlSet\Services\HidServ\Parameters. Action Taken: No Action Taken.
18 XII 2009 13:42:32 - ERROR!!! Invalid Entry system32\DRIVERS\hidusb.sys in HKLM\SYSTEM\CurrentControlSet\Services\HidUsb. Action Taken: No Action Taken.
18 XII 2009 13:42:32 - ERROR!!! Invalid Entry system32\DRIVERS\HSXHWAZL.sys in HKLM\SYSTEM\CurrentControlSet\Services\HSXHWAZL. Action Taken: No Action Taken.
18 XII 2009 13:42:33 - ERROR!!! Invalid Entry system32\DRIVERS\ewusbmdm.sys in HKLM\SYSTEM\CurrentControlSet\Services\hwdatacard. Action Taken: No Action Taken.
18 XII 2009 13:42:33 - ERROR!!! Invalid Entry system32\DRIVERS\LHidFilt.Sys in HKLM\SYSTEM\CurrentControlSet\Services\LHidFilt. Action Taken: No Action Taken.
18 XII 2009 13:42:33 - ERROR!!! Invalid Entry system32\DRIVERS\LMouFilt.Sys in HKLM\SYSTEM\CurrentControlSet\Services\LMouFilt. Action Taken: No Action Taken.
18 XII 2009 13:42:35 - ERROR!!! Invalid Entry system32\DRIVERS\pccsmcfd.sys in HKLM\SYSTEM\CurrentControlSet\Services\pccsmcfd. Action Taken: No Action Taken.
18 XII 2009 13:42:35 - ERROR!!! Invalid Entry System32\Drivers\Pcouffin.sys in HKLM\SYSTEM\CurrentControlSet\Services\Pcouffin. Action Taken: No Action Taken.
18 XII 2009 13:42:36 - ERROR!!! Invalid Entry system32\DRIVERS\secdrv.sys in HKLM\SYSTEM\CurrentControlSet\Services\Secdrv. Action Taken: No Action Taken.
18 XII 2009 13:42:37 - OpenError (C:\WINDOWS\system32\Drivers\sptd.sys): Proces nemá přístup k souboru, neboť jej právě využívá jiný proces. (0x20)
18 XII 2009 13:42:37 - ** Scanning may fail! File Locked [SUSPICIOUS]: C:\WINDOWS\system32\Drivers\sptd.sys (????)
18 XII 2009 13:42:37 - ** Forcing Rename on Reboot of file C:\WINDOWS\system32\Drivers\sptd.sys to C:\WINDOWS\system32\Drivers\sptd.sys.61660321
18 XII 2009 13:42:38 - ERROR!!! Invalid Entry system32\DRIVERS\SynTP.sys in HKLM\SYSTEM\CurrentControlSet\Services\SynTP. Action Taken: No Action Taken.
18 XII 2009 13:42:38 - ERROR!!! Invalid Entry system32\DRIVERS\Wdf01000.sys in HKLM\SYSTEM\CurrentControlSet\Services\Wdf01000. Action Taken: No Action Taken.
18 XII 2009 13:42:39 - ERROR!!! Invalid Entry system32\DRIVERS\wpdusb.sys in HKLM\SYSTEM\CurrentControlSet\Services\WpdUsb. Action Taken: No Action Taken.
18 XII 2009 13:42:39 - ERROR!!! Invalid Entry system32\DRIVERS\wudfrd.sys in HKLM\SYSTEM\CurrentControlSet\Services\WudfRd. Action Taken: No Action Taken.
18 XII 2009 13:42:39 - Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
18 XII 2009 13:42:39 - ***** Scanning System32 Folders *****
18 XII 2009 13:42:39 - Scanning C:\WINDOWS Directory
18 XII 2009 13:42:39 - [Scanning Folder: C:\WINDOWS]
18 XII 2009 13:42:50 - Scanning C:\WINDOWS\system32 Directory
18 XII 2009 13:42:50 - [Scanning Folder: C:\WINDOWS\system32]

18 XII 2009 13:43:39 - Scanning C:\Documents and Settings\David\Local Settings\temp Directory
18 XII 2009 13:43:39 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp]
18 XII 2009 13:43:39 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\WPDNSE]
18 XII 2009 13:43:46 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\plugins]
18 XII 2009 13:43:51 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\Log]
18 XII 2009 13:43:51 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\FtpTemp]
18 XII 2009 13:43:51 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\AVCBACK]
18 XII 2009 13:43:51 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\AVCBACK\plugins]
18 XII 2009 13:43:53 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\TEMP]
18 XII 2009 13:43:53 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\FtpTempF]
18 XII 2009 13:43:53 - [Scanning Folder: C:\Documents and Settings\David\Local Settings\temp\tmp000009d4]
18 XII 2009 13:43:53 - ***** Checking for specific ITW Viruses *****

BlackVeil · #11 Příspěvek od **BlackVeil** » 18 pro 2009 14:33

sory za prehazene poradi tvych pokynu

... zde zatim scan z rootrepealu

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/12/18 14:19
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF2208000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AC6000 Size: 8192 File Visible: No Signed: -
Status: -

Name: PCI_PNP9150
Image Path: \Driver\PCI_PNP9150
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Name: rootrepeal.SYS
Image Path: C:\WINDOWS\System32\Drivers\rootrepeal.SYS
Address: 0xEEFE0000 Size: 49152 File Visible: No Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Name: spwj.sys
Image Path: spwj.sys
Address: 0xF739F000 Size: 1040384 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\HIBERFIL.SYS
Status: Locked to the Windows API!

Path: c:\documents and settings\david\data aplikací\skype\blackveil406\etilqs_2fkzkhva3odwms3fyh85
Status: Size mismatch (API: 8192, Raw: 0)

SSDT
-------------------
#: 025 Function Name: NtClose
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e488e

#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e40ec

#: 041 Function Name: NtCreateKey
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e3dce

#: 050 Function Name: NtCreateSection
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e5938

#: 063 Function Name: NtDeleteKey
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e3ed8

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e3fc2

#: 071 Function Name: NtEnumerateKey
Status: Hooked by "spwj.sys" at address 0xf73bdca2

#: 073 Function Name: NtEnumerateValueKey
Status: Hooked by "spwj.sys" at address 0xf73be030

#: 097 Function Name: NtLoadDriver
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e4bbc

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e43f4

#: 119 Function Name: NtOpenKey
Status: Hooked by "spwj.sys" at address 0xf73a00c0

#: 160 Function Name: NtQueryKey
Status: Hooked by "spwj.sys" at address 0xf73be108

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "spwj.sys" at address 0xf73bdf88

#: 224 Function Name: NtSetInformationFile
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e4526

#: 247 Function Name: NtSetValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e3bfc

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e4b04

#: 274 Function Name: NtWriteFile
Status: Hooked by "C:\WINDOWS\system32\drivers\sp_rsdrv2.sys" at address 0xf22e470c

Stealth Objects
-------------------
Object: Hidden Code [Driver: Fastfat, IRP_MJ_CREATE]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLOSE]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_READ]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_WRITE]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_EA]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_EA]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SHUTDOWN]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLEANUP]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_PNP]
Process: System Address: 0x84f5d1f8 Size: 121

Object: Hidden Code [Driver: perc2, IRP_MJ_CREATE]
Process: System Address: 0x84fcc1f8 Size: 121

Object: Hidden Code [Driver: perc2, IRP_MJ_CLOSE]
Process: System Address: 0x84fcc1f8 Size: 121

Object: Hidden Code [Driver: perc2, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fcc1f8 Size: 121

Object: Hidden Code [Driver: perc2, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fcc1f8 Size: 121

Object: Hidden Code [Driver: perc2, IRP_MJ_POWER]
Process: System Address: 0x84fcc1f8 Size: 121

Object: Hidden Code [Driver: perc2, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fcc1f8 Size: 121

Object: Hidden Code [Driver: perc2, IRP_MJ_PNP]
Process: System Address: 0x84fcc1f8 Size: 121

Object: Hidden Code [Driver: Ql10wnt, IRP_MJ_CREATE]
Process: System Address: 0x84f691f8 Size: 121

Object: Hidden Code [Driver: Ql10wnt, IRP_MJ_CLOSE]
Process: System Address: 0x84f691f8 Size: 121

Object: Hidden Code [Driver: Ql10wnt, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f691f8 Size: 121

Object: Hidden Code [Driver: Ql10wnt, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f691f8 Size: 121

Object: Hidden Code [Driver: Ql10wnt, IRP_MJ_POWER]
Process: System Address: 0x84f691f8 Size: 121

Object: Hidden Code [Driver: Ql10wnt, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f691f8 Size: 121

Object: Hidden Code [Driver: Ql10wnt, IRP_MJ_PNP]
Process: System Address: 0x84f691f8 Size: 121

Object: Hidden Code [Driver: cbidf, IRP_MJ_CREATE]
Process: System Address: 0x84fca1f8 Size: 121

Object: Hidden Code [Driver: cbidf, IRP_MJ_CLOSE]
Process: System Address: 0x84fca1f8 Size: 121

Object: Hidden Code [Driver: cbidf, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fca1f8 Size: 121

Object: Hidden Code [Driver: cbidf, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fca1f8 Size: 121

Object: Hidden Code [Driver: cbidf, IRP_MJ_POWER]
Process: System Address: 0x84fca1f8 Size: 121

Object: Hidden Code [Driver: cbidf, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fca1f8 Size: 121

Object: Hidden Code [Driver: cbidf, IRP_MJ_PNP]
Process: System Address: 0x84fca1f8 Size: 121

Object: Hidden Code [Driver: ini910u, IRP_MJ_CREATE]
Process: System Address: 0x84f661f8 Size: 121

Object: Hidden Code [Driver: ini910u, IRP_MJ_CLOSE]
Process: System Address: 0x84f661f8 Size: 121

Object: Hidden Code [Driver: ini910u, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f661f8 Size: 121

Object: Hidden Code [Driver: ini910u, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f661f8 Size: 121

Object: Hidden Code [Driver: ini910u, IRP_MJ_POWER]
Process: System Address: 0x84f661f8 Size: 121

Object: Hidden Code [Driver: ini910u, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f661f8 Size: 121

Object: Hidden Code [Driver: ini910u, IRP_MJ_PNP]
Process: System Address: 0x84f661f8 Size: 121

Object: Hidden Code [Driver: ql1280, IRP_MJ_CREATE]
Process: System Address: 0x84fcd1f8 Size: 121

Object: Hidden Code [Driver: ql1280, IRP_MJ_CLOSE]
Process: System Address: 0x84fcd1f8 Size: 121

Object: Hidden Code [Driver: ql1280, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fcd1f8 Size: 121

Object: Hidden Code [Driver: ql1280, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fcd1f8 Size: 121

Object: Hidden Code [Driver: ql1280, IRP_MJ_POWER]
Process: System Address: 0x84fcd1f8 Size: 121

Object: Hidden Code [Driver: ql1280, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fcd1f8 Size: 121

Object: Hidden Code [Driver: ql1280, IRP_MJ_PNP]
Process: System Address: 0x84fcd1f8 Size: 121

Object: Hidden Code [Driver: asc, IRP_MJ_CREATE]
Process: System Address: 0x84f681f8 Size: 121

Object: Hidden Code [Driver: asc, IRP_MJ_CLOSE]
Process: System Address: 0x84f681f8 Size: 121

Object: Hidden Code [Driver: asc, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f681f8 Size: 121

Object: Hidden Code [Driver: asc, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f681f8 Size: 121

Object: Hidden Code [Driver: asc, IRP_MJ_POWER]
Process: System Address: 0x84f681f8 Size: 121

Object: Hidden Code [Driver: asc, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f681f8 Size: 121

Object: Hidden Code [Driver: asc, IRP_MJ_PNP]
Process: System Address: 0x84f681f8 Size: 121

Object: Hidden Code [Driver: asc3350p, IRP_MJ_CREATE]
Process: System Address: 0x84fd01f8 Size: 121

Object: Hidden Code [Driver: asc3350p, IRP_MJ_CLOSE]
Process: System Address: 0x84fd01f8 Size: 121

Object: Hidden Code [Driver: asc3350p, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fd01f8 Size: 121

Object: Hidden Code [Driver: asc3350p, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fd01f8 Size: 121

Object: Hidden Code [Driver: asc3350p, IRP_MJ_POWER]
Process: System Address: 0x84fd01f8 Size: 121

Object: Hidden Code [Driver: asc3350p, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fd01f8 Size: 121

Object: Hidden Code [Driver: asc3350p, IRP_MJ_PNP]
Process: System Address: 0x84fd01f8 Size: 121

Object: Hidden Code [Driver: cd20xrnt, IRP_MJ_CREATE]
Process: System Address: 0x84f621f8 Size: 121

Object: Hidden Code [Driver: cd20xrnt, IRP_MJ_CLOSE]
Process: System Address: 0x84f621f8 Size: 121

Object: Hidden Code [Driver: cd20xrnt, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f621f8 Size: 121

Object: Hidden Code [Driver: cd20xrnt, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f621f8 Size: 121

Object: Hidden Code [Driver: cd20xrnt, IRP_MJ_POWER]
Process: System Address: 0x84f621f8 Size: 121

Object: Hidden Code [Driver: cd20xrnt, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f621f8 Size: 121

Object: Hidden Code [Driver: cd20xrnt, IRP_MJ_PNP]
Process: System Address: 0x84f621f8 Size: 121

Object: Hidden Code [Driver: mraid35x, IRP_MJ_CREATE]
Process: System Address: 0x84f671f8 Size: 121

Object: Hidden Code [Driver: mraid35x, IRP_MJ_CLOSE]
Process: System Address: 0x84f671f8 Size: 121

Object: Hidden Code [Driver: mraid35x, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f671f8 Size: 121

Object: Hidden Code [Driver: mraid35x, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f671f8 Size: 121

Object: Hidden Code [Driver: mraid35x, IRP_MJ_POWER]
Process: System Address: 0x84f671f8 Size: 121

Object: Hidden Code [Driver: mraid35x, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f671f8 Size: 121

Object: Hidden Code [Driver: mraid35x, IRP_MJ_PNP]
Process: System Address: 0x84f671f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System Address: 0x84e9e1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_CREATE]
Process: System Address: 0x84f1f1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_CLOSE]
Process: System Address: 0x84f1f1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f1f1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f1f1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_POWER]
Process: System Address: 0x84f1f1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f1f1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_PNP]
Process: System Address: 0x84f1f1f8 Size: 121

Object: Hidden Code [Driver: symc8xx, IRP_MJ_CREATE]
Process: System Address: 0x84fd21f8 Size: 121

Object: Hidden Code [Driver: symc8xx, IRP_MJ_CLOSE]
Process: System Address: 0x84fd21f8 Size: 121

Object: Hidden Code [Driver: symc8xx, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fd21f8 Size: 121

Object: Hidden Code [Driver: symc8xx, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fd21f8 Size: 121

Object: Hidden Code [Driver: symc8xx, IRP_MJ_POWER]
Process: System Address: 0x84fd21f8 Size: 121

Object: Hidden Code [Driver: symc8xx, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fd21f8 Size: 121

Object: Hidden Code [Driver: symc8xx, IRP_MJ_PNP]
Process: System Address: 0x84fd21f8 Size: 121

Object: Hidden Code [Driver: ultra, IRP_MJ_CREATE]
Process: System Address: 0x84fcf1f8 Size: 121

Object: Hidden Code [Driver: ultra, IRP_MJ_CLOSE]
Process: System Address: 0x84fcf1f8 Size: 121

Object: Hidden Code [Driver: ultra, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fcf1f8 Size: 121

Object: Hidden Code [Driver: ultra, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fcf1f8 Size: 121

Object: Hidden Code [Driver: ultra, IRP_MJ_POWER]
Process: System Address: 0x84fcf1f8 Size: 121

Object: Hidden Code [Driver: ultra, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fcf1f8 Size: 121

Object: Hidden Code [Driver: ultra, IRP_MJ_PNP]
Process: System Address: 0x84fcf1f8 Size: 121

Object: Hidden Code [Driver: aic78u2, IRP_MJ_CREATE]
Process: System Address: 0x84f651f8 Size: 121

Object: Hidden Code [Driver: aic78u2, IRP_MJ_CLOSE]
Process: System Address: 0x84f651f8 Size: 121

Object: Hidden Code [Driver: aic78u2, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f651f8 Size: 121

Object: Hidden Code [Driver: aic78u2, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f651f8 Size: 121

Object: Hidden Code [Driver: aic78u2, IRP_MJ_POWER]
Process: System Address: 0x84f651f8 Size: 121

Object: Hidden Code [Driver: aic78u2, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f651f8 Size: 121

Object: Hidden Code [Driver: aic78u2, IRP_MJ_PNP]
Process: System Address: 0x84f651f8 Size: 121

Object: Hidden Code [Driver: dac960nt, IRP_MJ_CREATE]
Process: System Address: 0x84fd71f8 Size: 121

Object: Hidden Code [Driver: dac960nt, IRP_MJ_CLOSE]
Process: System Address: 0x84fd71f8 Size: 121

Object: Hidden Code [Driver: dac960nt, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fd71f8 Size: 121

Object: Hidden Code [Driver: dac960nt, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fd71f8 Size: 121

Object: Hidden Code [Driver: dac960nt, IRP_MJ_POWER]
Process: System Address: 0x84fd71f8 Size: 121

Object: Hidden Code [Driver: dac960nt, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fd71f8 Size: 121

Object: Hidden Code [Driver: dac960nt, IRP_MJ_PNP]
Process: System Address: 0x84fd71f8 Size: 121

Object: Hidden Code [Driver: adpu160m, IRP_MJ_CREATE]
Process: System Address: 0x84f611f8 Size: 121

Object: Hidden Code [Driver: adpu160m, IRP_MJ_CLOSE]
Process: System Address: 0x84f611f8 Size: 121

Object: Hidden Code [Driver: adpu160m, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f611f8 Size: 121

Object: Hidden Code [Driver: adpu160m, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f611f8 Size: 121

Object: Hidden Code [Driver: adpu160m, IRP_MJ_POWER]
Process: System Address: 0x84f611f8 Size: 121

Object: Hidden Code [Driver: adpu160m, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f611f8 Size: 121

Object: Hidden Code [Driver: adpu160m, IRP_MJ_PNP]
Process: System Address: 0x84f611f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System Address: 0x84f6d1f8 Size: 121

Object: Hidden Code [Driver: sym_u3, IRP_MJ_CREATE]
Process: System Address: 0x84fd11f8 Size: 121

Object: Hidden Code [Driver: sym_u3, IRP_MJ_CLOSE]
Process: System Address: 0x84fd11f8 Size: 121

Object: Hidden Code [Driver: sym_u3, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fd11f8 Size: 121

Object: Hidden Code [Driver: sym_u3, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fd11f8 Size: 121

Object: Hidden Code [Driver: sym_u3, IRP_MJ_POWER]
Process: System Address: 0x84fd11f8 Size: 121

Object: Hidden Code [Driver: sym_u3, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fd11f8 Size: 121

Object: Hidden Code [Driver: sym_u3, IRP_MJ_PNP]
Process: System Address: 0x84fd11f8 Size: 121

Object: Hidden Code [Driver: abp480n5, IRP_MJ_CREATE]
Process: System Address: 0x84f631f8 Size: 121

Object: Hidden Code [Driver: abp480n5, IRP_MJ_CLOSE]
Process: System Address: 0x84f631f8 Size: 121

Object: Hidden Code [Driver: abp480n5, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f631f8 Size: 121

Object: Hidden Code [Driver: abp480n5, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f631f8 Size: 121

Object: Hidden Code [Driver: abp480n5, IRP_MJ_POWER]
Process: System Address: 0x84f631f8 Size: 121

Object: Hidden Code [Driver: abp480n5, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f631f8 Size: 121

Object: Hidden Code [Driver: abp480n5, IRP_MJ_PNP]
Process: System Address: 0x84f631f8 Size: 121

Object: Hidden Code [Driver: ql1080, IRP_MJ_CREATE]
Process: System Address: 0x84f601f8 Size: 121

Object: Hidden Code [Driver: ql1080, IRP_MJ_CLOSE]
Process: System Address: 0x84f601f8 Size: 121

Object: Hidden Code [Driver: ql1080, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f601f8 Size: 121

Object: Hidden Code [Driver: ql1080, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f601f8 Size: 121

Object: Hidden Code [Driver: ql1080, IRP_MJ_POWER]
Process: System Address: 0x84f601f8 Size: 121

Object: Hidden Code [Driver: ql1080, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f601f8 Size: 121

Object: Hidden Code [Driver: ql1080, IRP_MJ_PNP]
Process: System Address: 0x84f601f8 Size: 121

Object: Hidden Code [Driver: hpn, IRP_MJ_CREATE]
Process: System Address: 0x84fcb1f8 Size: 121

Object: Hidden Code [Driver: hpn, IRP_MJ_CLOSE]
Process: System Address: 0x84fcb1f8 Size: 121

Object: Hidden Code [Driver: hpn, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fcb1f8 Size: 121

Object: Hidden Code [Driver: hpn, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fcb1f8 Size: 121

Object: Hidden Code [Driver: hpn, IRP_MJ_POWER]
Process: System Address: 0x84fcb1f8 Size: 121

Object: Hidden Code [Driver: hpn, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fcb1f8 Size: 121

Object: Hidden Code [Driver: hpn, IRP_MJ_PNP]
Process: System Address: 0x84fcb1f8 Size: 121

Object: Hidden Code [Driver: symc810, IRP_MJ_CREATE]
Process: System Address: 0x84fd81f8 Size: 121

Object: Hidden Code [Driver: symc810, IRP_MJ_CLOSE]
Process: System Address: 0x84fd81f8 Size: 121

Object: Hidden Code [Driver: symc810, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fd81f8 Size: 121

Object: Hidden Code [Driver: symc810, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fd81f8 Size: 121

Object: Hidden Code [Driver: symc810, IRP_MJ_POWER]
Process: System Address: 0x84fd81f8 Size: 121

Object: Hidden Code [Driver: symc810, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fd81f8 Size: 121

Object: Hidden Code [Driver: symc810, IRP_MJ_PNP]
Process: System Address: 0x84fd81f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System Address: 0x84999500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System Address: 0x84999500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84999500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84999500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System Address: 0x84999500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System Address: 0x84999500 Size: 121

Object: Hidden Code [Driver: ql12160, IRP_MJ_CREATE]
Process: System Address: 0x84f5f1f8 Size: 121

Object: Hidden Code [Driver: ql12160, IRP_MJ_CLOSE]
Process: System Address: 0x84f5f1f8 Size: 121

Object: Hidden Code [Driver: ql12160, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f5f1f8 Size: 121

Object: Hidden Code [Driver: ql12160, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f5f1f8 Size: 121

Object: Hidden Code [Driver: ql12160, IRP_MJ_POWER]
Process: System Address: 0x84f5f1f8 Size: 121

Object: Hidden Code [Driver: ql12160, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f5f1f8 Size: 121

Object: Hidden Code [Driver: ql12160, IRP_MJ_PNP]
Process: System Address: 0x84f5f1f8 Size: 121

Object: Hidden Code [Driver: aic78xx, IRP_MJ_CREATE]
Process: System Address: 0x84f6a1f8 Size: 121

Object: Hidden Code [Driver: aic78xx, IRP_MJ_CLOSE]
Process: System Address: 0x84f6a1f8 Size: 121

Object: Hidden Code [Driver: aic78xx, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f6a1f8 Size: 121

Object: Hidden Code [Driver: aic78xx, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f6a1f8 Size: 121

Object: Hidden Code [Driver: aic78xx, IRP_MJ_POWER]
Process: System Address: 0x84f6a1f8 Size: 121

Object: Hidden Code [Driver: aic78xx, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f6a1f8 Size: 121

Object: Hidden Code [Driver: aic78xx, IRP_MJ_PNP]
Process: System Address: 0x84f6a1f8 Size: 121

Object: Hidden Code [Driver: dac2w2k, IRP_MJ_CREATE]
Process: System Address: 0x84fc91f8 Size: 121

Object: Hidden Code [Driver: dac2w2k, IRP_MJ_CLOSE]
Process: System Address: 0x84fc91f8 Size: 121

Object: Hidden Code [Driver: dac2w2k, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fc91f8 Size: 121

Object: Hidden Code [Driver: dac2w2k, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fc91f8 Size: 121

Object: Hidden Code [Driver: dac2w2k, IRP_MJ_POWER]
Process: System Address: 0x84fc91f8 Size: 121

Object: Hidden Code [Driver: dac2w2k, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fc91f8 Size: 121

Object: Hidden Code [Driver: dac2w2k, IRP_MJ_PNP]
Process: System Address: 0x84fc91f8 Size: 121

Object: Hidden Code [Driver: amsint, IRP_MJ_CREATE]
Process: System Address: 0x84fd61f8 Size: 121

Object: Hidden Code [Driver: amsint, IRP_MJ_CLOSE]
Process: System Address: 0x84fd61f8 Size: 121

Object: Hidden Code [Driver: amsint, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fd61f8 Size: 121

Object: Hidden Code [Driver: amsint, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fd61f8 Size: 121

Object: Hidden Code [Driver: amsint, IRP_MJ_POWER]
Process: System Address: 0x84fd61f8 Size: 121

Object: Hidden Code [Driver: amsint, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fd61f8 Size: 121

Object: Hidden Code [Driver: amsint, IRP_MJ_PNP]
Process: System Address: 0x84fd61f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System Address: 0x84e771f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System Address: 0x84e771f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84e771f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84e771f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System Address: 0x84e771f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84e771f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System Address: 0x84e771f8 Size: 121

Object: Hidden Code [Driver: ql1240, IRP_MJ_CREATE]
Process: System Address: 0x84fd31f8 Size: 121

Object: Hidden Code [Driver: ql1240, IRP_MJ_CLOSE]
Process: System Address: 0x84fd31f8 Size: 121

Object: Hidden Code [Driver: ql1240, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84fd31f8 Size: 121

Object: Hidden Code [Driver: ql1240, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84fd31f8 Size: 121

Object: Hidden Code [Driver: ql1240, IRP_MJ_POWER]
Process: System Address: 0x84fd31f8 Size: 121

Object: Hidden Code [Driver: ql1240, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84fd31f8 Size: 121

Object: Hidden Code [Driver: ql1240, IRP_MJ_PNP]
Process: System Address: 0x84fd31f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_CREATE]
Process: System Address: 0x84f6b1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_CLOSE]
Process: System Address: 0x84f6b1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f6b1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f6b1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_POWER]
Process: System Address: 0x84f6b1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f6b1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_PNP]
Process: System Address: 0x84f6b1f8 Size: 121

Object: Hidden Code [Driver: sym_hi, IRP_MJ_CREATE]
Process: System Address: 0x84f641f8 Size: 121

Object: Hidden Code [Driver: sym_hi, IRP_MJ_CLOSE]
Process: System Address: 0x84f641f8 Size: 121

Object: Hidden Code [Driver: sym_hi, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84f641f8 Size: 121

Object: Hidden Code [Driver: sym_hi, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84f641f8 Size: 121

Object: Hidden Code [Driver: sym_hi, IRP_MJ_POWER]
Process: System Address: 0x84f641f8 Size: 121

Object: Hidden Code [Driver: sym_hi, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84f641f8 Size: 121

Object: Hidden Code [Driver: sym_hi, IRP_MJ_PNP]
Process: System Address: 0x84f641f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_CREATE]
Process: System Address: 0x84f5e1f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_CREATE_NAMED_PIPE]
Process: System Address: 0x84f5e1f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_CLOSE]
Process: System Address: 0x84f5e1f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_READ]
Process: System Address: 0x84f5e1f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_WRITE]
Process: System Address: 0x84f5e1f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x84f5e1f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x84f5e1f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_QUERY_EA]
Process: System Address: 0x84f5e1f8 Size: 121

Object: Hidden Code [Driver: perc2hib, IRP_MJ_SET_EA]
Proc==EOF==

a uz jdu na ten registr ... mmnt

BlackVeil · #12 Příspěvek od **BlackVeil** » 18 pro 2009 14:43

posilam obsah z klice

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
61,00,70,00,70,00,6d,00,67,00,6d,00,74,00,73,00,2e,00,64,00,6c,00,6c,00,00,\
00

BlackVeil · #13 Příspěvek od **BlackVeil** » 18 pro 2009 19:12

zde je druhy klic

Název klíče: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btaudio
Název třídy: <BEZ TŘÍDY>
Čas posledního zápisu: 17.12.2009 - 10:34
Hodnota 0
Název: Type
Typ: REG_DWORD
Údaje: 0x1

Hodnota 1
Název: Start
Typ: REG_DWORD
Údaje: 0x3

Hodnota 2
Název: ErrorControl
Typ: REG_DWORD
Údaje: 0x1

Hodnota 3
Název: ImagePath
Typ: REG_EXPAND_SZ
Údaje: system32\drivers\btaudio.sys

Hodnota 4
Název: DisplayName
Typ: REG_SZ
Údaje: Bluetooth Audio Device

Název klíče: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btaudio\Security
Název třídy: <BEZ TŘÍDY>
Čas posledního zápisu: 27.8.2008 - 15:34
Hodnota 0
Název: Security
Typ: REG_BINARY
Údaje:
00000000 01 00 14 80 90 00 00 00 - 9c 00 00 00 14 00 00 00 ................
00000010 30 00 00 00 02 00 1c 00 - 01 00 00 00 02 80 14 00 0...............
00000020 ff 01 0f 00 01 01 00 00 - 00 00 00 01 00 00 00 00 ÿ...............
00000030 02 00 60 00 04 00 00 00 - 00 00 14 00 fd 01 02 00 ..`.........ý...
00000040 01 01 00 00 00 00 00 05 - 12 00 00 00 00 00 18 00 ................
00000050 ff 01 0f 00 01 02 00 00 - 00 00 00 05 20 00 00 00 ÿ........... ...
00000060 20 02 00 00 00 00 14 00 - 8d 01 02 00 01 01 00 00 ...............
00000070 00 00 00 05 0b 00 00 00 - 00 00 18 00 fd 01 02 00 ............ý...
00000080 01 02 00 00 00 00 00 05 - 20 00 00 00 23 02 00 00 ........ ...#...
00000090 01 01 00 00 00 00 00 05 - 12 00 00 00 01 01 00 00 ................
000000a0 00 00 00 05 12 00 00 00 - ........

BlackVeil · #14 Příspěvek od **BlackVeil** » 18 pro 2009 19:17

jeste mi, prosim, vysvetli co myslis tim, "Pokud bude v poradku, nechal bych to byt, jen po sobe bych uklidil RR je taky cisty" ... to jsem nejak nepochopil

jestli ten klic bude ok, tak bych zkusil jeste zkontrolovat ty soubory, ktere jsou v karantene v nodu, pokud budou skutecne na hdd v poradku, tak je z karanteny vymazu ... co ty na to ??

zajimalo by me spis, jak k tomu mohlo dojit ?? ... nejsem sam, viz zde ...http://www.viry.cz/forum/viewtopic.php?f=13&t=94938

BlackVeil · #15 Příspěvek od **BlackVeil** » 18 pro 2009 19:52

no, napad mozna dobry, jen to provedeni ... je toho v karantene asi 72 kusu

to zkusim namatkove

VIRY.CZ

NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR

Re: NOD32 mi opakovane hlasi infekci Win32/Agent.QMR