Jedná se o vir nebo ne Vyřešeno

[Jan Pašek]

Mbam mi nalezl toto:
D:\Program Files\FreeRapid-0.85\tools\find\find.exe

Výsledek scanu na virus total:
http://www.virustotal.com/file-scan/rep ... 1290733282

Chcete poslat log HijackThis?

[Reklama]

[defender3]

AV ti nic nehlásí?

[Jan Pašek]

Avast si ani nevrznul proto se ptám protože i výsledek na virus total je sporný. Jinak pro upřesnění jedná se o část Free rapid downloaderu.

[memphisto]

Dej HJT a uvidíme

[Jan Pašek]

Sice nejsem z HJT úplně ve správné sekci ale zas bych to tam musel celé vysvětlovat.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:40, on 4.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\VIA\RAID\vialogsv.exe
D:\Program Files\Java\jre6\launch4j-tmp\frd.exe
D:\Program Files\Common Files\Ahead\lib\NMIndexStoreSvr.exe
D:\Program Files\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program

Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avast5] D:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Program Files\Malwarebytes'

Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [EVEREST AutoStart] D:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

(User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

(User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel -

res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Program

Files\ICQ7.2\ICQ.exe
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! Antivirus - AVAST Software - D:\Program Files\Alwil

Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - D:\Program Files\Alwil

Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - D:\Program Files\Alwil

Software\Avast5\AvastSvc.exe
O23 - Service: CiSvc - Unknown owner - D:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Start BT in service - Unknown owner - D:\Program Files\IVT

Corporation\BlueSoleil\StartSkysolSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - D:\Program Files\Common

Files\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
O23 - Service: UPS - Unknown owner - D:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: VRAID Log Service - Unknown owner - D:\Program Files\VIA\RAID\vialogsv.exe

--
End of file - 4731 bytes

[memphisto]

Dej start - spustit - services.msc - najdi a ukonči/zakaž tyto služby:
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - D:\Program Files\CommonFiles\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
O23 - Service: UPS - Unknown owner - D:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: CiSvc - Unknown owner - D:\WINDOWS\system32\cisvc.exe (file missing)

Vypni rezidentní štít antiviru a antispywaru
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Jan Pašek]

ComboFix 10-12-03.03 - Spravce 04.12.2010 14:40:55.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.536 [GMT 1:00]
Spuštěný z: d:\documents and settings\Spravce\Plocha\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Vytvořen nový Bod Obnovení
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\documents and settings\All Users\Data aplikací\Microsoft\Network\Downloader\qmgr0.dat
d:\documents and settings\All Users\Data aplikací\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Možné infikované stránky -----

hxxp://client.updatestar.com
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-11-04 do 2010-12-04 )))))))))))))))))))))))))))))))
.

2010-11-25 09:41 . 2010-11-25 09:41 -------- d-----w- d:\documents and settings\Spravce\Data aplikací\AnvSoft
2010-11-25 09:41 . 2010-11-25 09:41 -------- d-----w- d:\program files\AnvSoft
2010-11-20 18:49 . 2010-11-20 18:49 -------- d-----w- d:\documents and settings\Spravce\Data aplikací\skypePM
2010-11-07 09:41 . 2010-11-07 09:41 -------- d-----w- d:\documents and settings\All Users\Data aplikací\Ahead

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:42 . 2010-07-21 08:08 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-07-21 08:08 20952 ----a-w- d:\windows\system32\drivers\mbam.sys
2010-10-09 14:34 . 2010-10-09 14:34 752128 ----a-w- d:\windows\system32\drivers\tdrpm273.sys
2010-10-09 14:34 . 2010-10-09 14:34 600928 ----a-w- d:\windows\system32\drivers\timntr.sys
2010-10-02 08:39 . 2010-10-02 08:39 691696 ----a-w- d:\windows\system32\drivers\sptd.sys
2010-09-18 10:23 . 2007-04-03 06:44 974848 ----a-w- d:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2008-04-14 06:51 974848 ----a-w- d:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2008-04-14 06:51 953856 ----a-w- d:\windows\system32\mfc40u.dll
2010-09-18 06:53 . 2004-08-18 12:00 954368 ----a-w- d:\windows\system32\mfc40.dll
2010-09-15 02:50 . 2010-07-12 20:12 472808 ----a-w- d:\windows\system32\deployJava1.dll
2010-09-15 00:29 . 2010-07-12 20:12 73728 ----a-w- d:\windows\system32\javacpl.cpl
2010-09-10 05:50 . 2010-07-12 19:14 919552 ----a-w- d:\windows\system32\wininet.dll
2010-09-10 05:50 . 2010-07-12 19:13 43520 ----a-w- d:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2010-07-12 19:13 1469440 ----a-w- d:\windows\system32\inetcpl.cpl
2010-09-07 15:12 . 2010-07-12 20:28 38848 ----a-w- d:\windows\avastSS.scr
2010-09-07 15:11 . 2010-07-12 20:28 167592 ----a-w- d:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-07-12 20:28 46672 ----a-w- d:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-07-12 20:28 165584 ----a-w- d:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-07-12 20:28 23376 ----a-w- d:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-07-12 20:28 100176 ----a-w- d:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-07-12 20:28 94544 ----a-w- d:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-07-12 20:28 17744 ----a-w- d:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-07-12 20:28 28880 ----a-w- d:\windows\system32\drivers\aavmker4.sys
.

------- Sigcheck -------

[-] 2010-07-12 . B84B22372D6170FFA7858C3B405B1A16 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EVEREST AutoStart"="d:\program files\Lavalys\EVEREST Ultimate Edition\everest.exe" [2009-02-04 2350176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="d:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2010-06-07 110696]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2010-06-07 13902440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Skype"="d:\program files\Skype\Phone\Skype.exe" [2010-10-11 14940040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2010-07-12 128512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-01 06:39 1164584 ----a-w- d:\program files\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-10-27 12:20 133432 ----a-w- d:\program files\ICQ7.2\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 ----a-w- d:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- d:\program files\Common Files\Java\Java Update\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\ICQ7.2\\ICQ.exe"=
"d:\\Program Files\\ICQ7.2\\aolload.exe"=
"d:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=
"d:\\Program Files\\Nero\\Nero 7\\Core\\nero.exe"=
"d:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"g:\\Nainstalováný Softwéry\\track mania national forever\\TmNationsForever\\TmForever.exe"=
"d:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"h:\\Miranda IM\\miranda32.exe"=
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [2.10.2010 9:39 691696]
R1 AsUpIO;AsUpIO;d:\windows\system32\drivers\AsUpIO.sys [18.7.2010 2:10 11448]
R1 aswSP;aswSP;d:\windows\system32\drivers\aswSP.sys [12.7.2010 21:28 165584]
R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [12.7.2010 21:28 17744]
S2 VRAID Log Service;VRAID Log Service;d:\program files\VIA\RAID\vialogsv.exe [18.7.2010 4:24 52888]
S3 cpudrv;cpudrv;d:\program files\SystemRequirementsLab\cpudrv.sys [18.12.2009 9:58 11336]
S3 Start BT in service;Start BT in service;d:\program files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [21.4.2007 13:54 52080]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - EverestDriver
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
IE: E&xportovat do aplikace Microsoft Office Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - plugin: d:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - d:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - d:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Extension: Locale Switcher: {338e0b96-2285-4424-b4c8-e25560750fa3} - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\extensions\{338e0b96-2285-4424-b4c8-e25560750fa3}
FF - Extension: Czech (CZ) Language Pack: langpack-cs@firefox.mozilla.org - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\extensions\langpack-cs@firefox.mozilla.org
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Extension: ÄŚeskĂ© slovnĂ­ky pro kontrolu pravopisu: cs@dictionaries.addons.mozilla.org - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\extensions\cs@dictionaries.addons.mozilla.org
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-04 14:44
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@d:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="d:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Celkový čas: 2010-12-04 14:46:11
ComboFix-quarantined-files.txt 2010-12-04 13:46

Před spuštěním: Volných bajtů: 17 014 751 232
Po spuštění: Volných bajtů: 17 394 831 360

- - End Of File - - 8CC592A51F6839BC2AE6425BF9626C80

[memphisto]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

[Jan Pašek]

ComboFix 10-12-03.03 - Spravce 04.12.2010 15:08:43.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.596 [GMT 1:00]
Spuštěný z: d:\documents and settings\Spravce\Plocha\ComboFix.exe
Použité ovládací přepínače :: d:\documents and settings\Spravce\Plocha\CFScript.txt
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-11-04 do 2010-12-04 )))))))))))))))))))))))))))))))
.

2010-11-25 09:41 . 2010-11-25 09:41 -------- d-----w- d:\documents and settings\Spravce\Data aplikací\AnvSoft
2010-11-25 09:41 . 2010-11-25 09:41 -------- d-----w- d:\program files\AnvSoft
2010-11-20 18:49 . 2010-11-20 18:49 -------- d-----w- d:\documents and settings\Spravce\Data aplikací\skypePM
2010-11-07 09:41 . 2010-11-07 09:41 -------- d-----w- d:\documents and settings\All Users\Data aplikací\Ahead

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:42 . 2010-07-21 08:08 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-07-21 08:08 20952 ----a-w- d:\windows\system32\drivers\mbam.sys
2010-10-09 14:34 . 2010-10-09 14:34 752128 ----a-w- d:\windows\system32\drivers\tdrpm273.sys
2010-10-09 14:34 . 2010-10-09 14:34 600928 ----a-w- d:\windows\system32\drivers\timntr.sys
2010-10-02 08:39 . 2010-10-02 08:39 691696 ----a-w- d:\windows\system32\drivers\sptd.sys
2010-09-18 10:23 . 2007-04-03 06:44 974848 ----a-w- d:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2008-04-14 06:51 974848 ----a-w- d:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2008-04-14 06:51 953856 ----a-w- d:\windows\system32\mfc40u.dll
2010-09-18 06:53 . 2004-08-18 12:00 954368 ----a-w- d:\windows\system32\mfc40.dll
2010-09-15 02:50 . 2010-07-12 20:12 472808 ----a-w- d:\windows\system32\deployJava1.dll
2010-09-15 00:29 . 2010-07-12 20:12 73728 ----a-w- d:\windows\system32\javacpl.cpl
2010-09-10 05:50 . 2010-07-12 19:14 919552 ----a-w- d:\windows\system32\wininet.dll
2010-09-10 05:50 . 2010-07-12 19:13 43520 ----a-w- d:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2010-07-12 19:13 1469440 ----a-w- d:\windows\system32\inetcpl.cpl
2010-09-07 15:12 . 2010-07-12 20:28 38848 ----a-w- d:\windows\avastSS.scr
2010-09-07 15:11 . 2010-07-12 20:28 167592 ----a-w- d:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-07-12 20:28 46672 ----a-w- d:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-07-12 20:28 165584 ----a-w- d:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-07-12 20:28 23376 ----a-w- d:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-07-12 20:28 100176 ----a-w- d:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-07-12 20:28 94544 ----a-w- d:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-07-12 20:28 17744 ----a-w- d:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-07-12 20:28 28880 ----a-w- d:\windows\system32\drivers\aavmker4.sys
.

------- Sigcheck -------

[-] 2010-07-12 . B84B22372D6170FFA7858C3B405B1A16 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EVEREST AutoStart"="d:\program files\Lavalys\EVEREST Ultimate Edition\everest.exe" [2009-02-04 2350176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="d:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2010-06-07 110696]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2010-06-07 13902440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Skype"="d:\program files\Skype\Phone\Skype.exe" [2010-10-11 14940040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2010-07-12 128512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-01 06:39 1164584 ----a-w- d:\program files\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-10-27 12:20 133432 ----a-w- d:\program files\ICQ7.2\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 ----a-w- d:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- d:\program files\Common Files\Java\Java Update\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\ICQ7.2\\ICQ.exe"=
"d:\\Program Files\\ICQ7.2\\aolload.exe"=
"d:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=
"d:\\Program Files\\Nero\\Nero 7\\Core\\nero.exe"=
"d:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"g:\\Nainstalováný Softwéry\\track mania national forever\\TmNationsForever\\TmForever.exe"=
"d:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"h:\\Miranda IM\\miranda32.exe"=
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [2.10.2010 9:39 691696]
R1 AsUpIO;AsUpIO;d:\windows\system32\drivers\AsUpIO.sys [18.7.2010 2:10 11448]
R1 aswSP;aswSP;d:\windows\system32\drivers\aswSP.sys [12.7.2010 21:28 165584]
R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [12.7.2010 21:28 17744]
S2 VRAID Log Service;VRAID Log Service;d:\program files\VIA\RAID\vialogsv.exe [18.7.2010 4:24 52888]
S3 cpudrv;cpudrv;d:\program files\SystemRequirementsLab\cpudrv.sys [18.12.2009 9:58 11336]
S3 Start BT in service;Start BT in service;d:\program files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [21.4.2007 13:54 52080]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - EverestDriver
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
IE: E&xportovat do aplikace Microsoft Office Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - plugin: d:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - d:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - d:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Extension: Locale Switcher: {338e0b96-2285-4424-b4c8-e25560750fa3} - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\extensions\{338e0b96-2285-4424-b4c8-e25560750fa3}
FF - Extension: Czech (CZ) Language Pack: langpack-cs@firefox.mozilla.org - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\extensions\langpack-cs@firefox.mozilla.org
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Extension: ÄŚeskĂ© slovnĂ­ky pro kontrolu pravopisu: cs@dictionaries.addons.mozilla.org - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\2d718ojg.default\extensions\cs@dictionaries.addons.mozilla.org
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-04 15:12
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(1512)
d:\windows\system32\webcheck.dll
d:\windows\system32\wpdshserviceobj.dll
d:\windows\system32\portabledevicetypes.dll
d:\windows\system32\portabledeviceapi.dll
.
Celkový čas: 2010-12-04 15:13:31
ComboFix-quarantined-files.txt 2010-12-04 14:13
ComboFix2.txt 2010-12-04 13:46

Před spuštěním: Volných bajtů: 17 305 010 176
Po spuštění: Volných bajtů: 17 292 427 264

- - End Of File - - 61F5C23D31E431CD62C4C1B2E17F897E

[memphisto]

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

vyčisti systém CCleanerem

a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš

pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG , Avast,Avira či Microsoft Security Essentials následně T-Cleaner smaž a zapni si AVG , Avast, Avira či Microsoft Security Essentials


Ten podezřelý můžeš ručně smazat

Jsou nějaké problémy?

[Jan Pašek]

dík a vyřešeno