Prosím o kontrolu logu. Pravděpodobně opět napadení PC Vyřešeno

[jumbovrte]

Killnul jsi mi asi ovladač na myš :)
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\POINTER deleted successfully.

[Reklama]

[jaro3]

Já mazal jen toto:
O4 - HKLM..\Run: [POINTER] File not found --čili ten soubor tam nebyl , byl to tedy jen prázdný klíč , pokud se OTL neplete, ale takový případ jsem nezaznamenal..


Spusť OTL a klikni na Vyčisti.

jak to vypadá s PC?

[jumbovrte]

Ještě jsem Jaro3 dal znovu killnutí OTL, kde jsem již nevymazával řádky na kterých se to před odinstalací Virus Removal Tool sekalo, přikládám log, pak jdu hned na to čištění.

Maily v průběhu dne ještě drobet přicházeli, teď zatím nic... Ale můžou se objevit zase třeba až za hodinu, uvidíme.

All processes killed
========== OTL ==========
No active process named explorer.exe was found!
No active process named firefox.exe was found!
Error: No service named uti3otqx was found to stop!
Service\Driver key uti3otqx not found.
File C:\WINDOWS\system32\drivers\uti3otqx.sys ()DRV - (53102182) -- C:\WINDOWS\system32\DRIVERS\53102182.sys not found.
Service setup_9.0.0.722_16.09.2010_12-24drv stopped successfully!
Service setup_9.0.0.722_16.09.2010_12-24drv deleted successfully!
File C:\WINDOWS\system32\drivers\5310218.sys not found.
Service 53102181 stopped successfully!
Service 53102181 deleted successfully!
File C:\WINDOWS\system32\drivers\53102181.sys not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\CustomizeSearch| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
127.0.0.1 localhost removed from HOSTS file successfully
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\POINTER not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ not found.
File Protocol\Handler\msdaipp - No CLSID value found not found.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
========== FILES ==========
C:\WINDOWS\System32\PerfStringBackup.TMP moved successfully.
File\Folder C:\WINDOWS\*.tmp not found.
File\Folder C:\WINDOWS\system32\*.tmp.dll not found.
File\Folder C:\WINDOWS\system32\SET*.tmp not found.
c:\windows\Tasks\MP Scheduled Scan.job moved successfully.
File\Folder C:\*.tmp not found.
File\Folder C:\WINDOWS\System32\drivers\etc\hosts.20100915-200053.backup not found.
File\Folder C:\Documents and Settings\v2\Local Settings\Data aplikací\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini not found.
File\Folder C:\WINDOWS\System32\drivers\5310218.sys not found.
File\Folder C:\WINDOWS\System32\drivers\53102181.sys not found.
File\Folder C:\WINDOWS\System32\drivers\53102182.sys not found.
File\Folder C:\WINDOWS\System32\drivers\5310218.sys not found.
File\Folder C:\WINDOWS\System32\GDIBot.dll not found.
File\Folder C:\WINDOWS\system32\drivers\uti3otqx.sys not found.
File\Folder C:\WINDOWS\System32\perfh009.dat not found.
File\Folder C:\WINDOWS\System32\perfc009.dat not found.
C:\WINDOWS\tasks\SA.DAT moved successfully.
File\Folder C:\OTM.exe not found.
C:\WINDOWS\System32\ezsidmv.dat moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: v2
->Temp folder emptied: 56118 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 13749290 bytes
->Flash cache emptied: 456 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 3136 bytes

Total Files Cleaned = 13,00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: LocalService

User: NetworkService

User: v2
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.12.1 log created on 09202010_120953

Files\Folders moved on Reboot...
File move failed. E:\autorun.inf scheduled to be moved on reboot.

Registry entries deleted on Reboot...

[jumbovrte]

Vyčištěno.

Počkáme do zítra jestli přijde nějaký nedoručitelný email a pokud nepřijde, označím téma zelenou fajfkou.

!!!!!!Díky Ti mockrát Jaro3!!!!!!

[jaro3]

Fajn , jinak potom ještě udělej toto ( jen pokud by to nebylo OK!):

Vypni rez.ochrany a firewall.

Spusť F-Secure Online Scanner

Tento skener je možno použít jen v prohlížeči Internet Explorer! Postupuj podle instrukcí na stránce F-Secure pro správnou instalaci. Akceptuj licenci. Po instalaci ActiveX, klikni na Full System Scan. Když stahování skončeno, automaticky začne sken . Vyčkej konce skenu, po jeho dobu neprováděj jiné operace ani neklikej myší. Když skončí sken klikni na tlačítko Automatic clearing (recommended). Poté klikni na tlačítko Show Report a zkopíruj a vlož sem .

Pokud to ale bude OK , tak :
můžeš OTL smazat , C:\_OTL

[jumbovrte]

Ahoj,

tak opět chodily nedoručenky.. :( Navíc se od večera nemohu dostat na mail, jak kdyby se změnilo heslo. Nechápu

Edit: už chápu, účet byl seznamem zablokován, zřejmě kvůli nekonečnému rozesílání spamu... doprde.. :(
uvidím jestli na technické podpoře ten účet zaktivují znovu..

Edit2: tak s podporou dobře vyřešeno, email opět aktivní, změnil jsem heslo za mnohem silnější. Tak uvidíme v průběhu dne, jestli bude ještě něco přicházet...

Vypovídá celá situace o tom, že ty spamy byly rozesílány nezávisle na tomto PC, protože chodily i o víkendu, kdy toto pracovní PC bylo vypnuté.

Jdu na ten F-Secure scanner.

[jumbovrte]

Hlášení kontroly
Úterý, Září 21, 2010 06:08:47 - 06:46:06

Název počítače: V2
Typ kontroly: Kontrolovat systém na přítomnost malwaru, spywaru a programů rootkit
Cíl: C:\
Nebyl nalezen žádný malware.
Statistika
Kontrolováno:

* Soubory: 47903
* Systém: 3021
* Nekontrolováno: 12

Akce:

* Vyléčeno: 0
* Přejmenováno: 0
* Odstraněno: 0
* Nevyčištěno: 0
* Odesláno: 0

Nekontrolované soubory:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\DOCUMENTS AND SETTINGS\V2\LOCAL SETTINGS\TEMP\HSPERFDATA_V2\824
* C:\DOCUMENTS AND SETTINGS\V2\LOCAL SETTINGS\TEMP\HSPERFDATA_V2\2816
* C:\DOCUMENTS AND SETTINGS\V2\DATA APLIKACÍ\SKYPE\ETILQS_AJL5ZINJFWJIR9X7RCJC
* C:\DOCUMENTS AND SETTINGS\V2\DATA APLIKACÍ\SKYPE\ETILQS_KXHQUIQM0G8QL9JP6LM0
* C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKACÍ\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\16E3A296370B78A13B2BB43FF88D5A50_FF61179A-A5B2-4A39-BBB3-D9FC315D4239
* C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKACÍ\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\77DE3C70E0DBB0B03BAE3C50D858F62B_FF61179A-A5B2-4A39-BBB3-D9FC315D4239

Možnosti
Moduly kontroly:

Možnosti kontroly:

* Kontrolovat určené soubory: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Používat pokročilou heuristiku

Copyright © 1998–2009 Podpora produktu | Odeslat vzorek viru společnosti F-Secure
Společnost F-Secure nepřejímá jakoukoli odpovědnost za materiály vytvořené nebo publikované třetími stranami, na které odkazují webové stránky společnosti F-Secure. Pokud odešlete na kterýkoli z našich serverů jakýkoli materiál (například pomocí e-mailu nebo prostřednictvím e-mailu F-Secure CGI), souhlasíte, že všechny vámi zpřístupněné materiály mohou být publikovány na webových stránkách společnosti F-Secure nebo tiskově publikovány, s výjimkou případu, kdy jednoznačně oznámíte svůj nesouhlas. Veřejné webové stránky společnosti F-Secure navštívíte klepnutím na následující odkazy. Současně bude váš přístup zaznamenán do našich osobních statistik přístupu pro název vaší domény. Tato informace nebude předávána třetím stranám. Tímto vyjadřujete svůj souhlas s tím, že ohledně odesílaných materiálů nepodniknete vůči nám jakékoli právní kroky. Odesláním materiálu opravňujete společnost F-Secure k tomu, že může začlenit jakékoli koncepty popsané v těchto materiálech bez dalších závazků, pokud výslovně neuvedete jinak.

[jumbovrte]

Projel jsem ještě heuristikou NOD32, nic nenalezl...

[jaro3]

Stahni AVPtool
-nainstaluj, nech provést sken všechn jednotek
-co najde nech léčit
-pak sem vlož log.

+
Vlož sem ještě také log z LopFind
Stáhni, vybal a spusť LopFind - Po jeho spuštění se během chvíle zobrazí textový dokument, jinak také uložený na disku pod umístěním C:\lop.txt, zkopíruj celý jeho obsah sem.

[jumbovrte]

LOG z Kaspersky viz obr.

[jumbovrte]

LopFind

LopFind v4 © Čas: 10:39:38,78 Datum: út 21.09.2010

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\Documents and Settings\All Users\DATAAP~1

15.09.2010 19:53 <DIR> Spybot - Search & Destroy
15.09.2010 14:35 <DIR> ESET
05.08.2010 13:25 <DIR> Skype
15.07.2010 13:50 <DIR> PDF reDirect
07.05.2010 07:35 <DIR> F-Secure
07.05.2010 07:32 <DIR> Sun
05.05.2010 09:33 <DIR> Malwarebytes
02.11.2009 14:28 <DIR> Temp
12.10.2009 12:11 <DIR> WinZip
16.01.2009 14:44 <DIR> FileOpen
02.02.2008 19:59 <DIR> CanonBJ
02.02.2008 16:33 <DIR> Windows Genuine Advantage
02.02.2008 10:45 <DIR> Adobe
02.02.2008 10:06 62 desktop.ini
02.02.2008 10:06 <DIR> Microsoft
02.02.2008 10:06 <DIR> .
02.02.2008 10:06 <DIR> ..
1 souborů, 62 bajtů
Adresářů: 16, Volných bajtů: 42081628160
Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\Documents and Settings\v2\DATAAP~1

15.09.2010 14:36 <DIR> ESET
03.09.2010 08:28 <DIR> WinRAR
06.08.2010 06:22 <DIR> Google
05.08.2010 13:26 <DIR> skypePM
22.07.2010 10:00 <DIR> Skype
15.07.2010 13:49 <DIR> PDF reDirect
30.06.2010 07:23 <DIR> BitSpirit
07.05.2010 07:31 <DIR> Sun
05.05.2010 09:33 <DIR> Malwarebytes
09.03.2010 14:29 <DIR> TeamViewer
09.02.2010 11:51 <DIR> U3
05.02.2010 09:27 <DIR> Mozilla
17.07.2009 09:12 <DIR> Avant Profiles
17.04.2009 08:05 <DIR> InstallShield
16.01.2009 14:44 <DIR> FileOpen
24.11.2008 15:30 <DIR> IDMComp
24.11.2008 15:28 <DIR> PSpad
14.11.2008 11:03 <DIR> NeroDCTemplates
27.10.2008 16:39 <DIR> FastStone
22.04.2008 11:43 52776 GDIPFONTCACHEV1.DAT
03.04.2008 08:05 <DIR> Help
20.03.2008 16:19 <DIR> Media Player Classic
08.02.2008 11:11 <DIR> Macromedia
02.02.2008 20:02 <DIR> Canon
02.02.2008 11:09 <DIR> ACD Systems
02.02.2008 10:57 <DIR> gtk-2.0
02.02.2008 10:50 <DIR> Avant Browser
02.02.2008 10:46 <DIR> Adobe
02.02.2008 09:37 <DIR> Identities
02.02.2008 09:37 62 desktop.ini
02.02.2008 09:37 <DIR> ..
02.02.2008 09:37 <DIR> .
02.02.2008 09:37 <DIR> Microsoft
2 souborů, 52838 bajtů
Adresářů: 31, Volných bajtů: 42081628160
Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\Documents and Settings\Default User\DATAAP~1

02.02.2008 10:06 62 desktop.ini
02.02.2008 10:06 <DIR> ..
02.02.2008 10:06 <DIR> Microsoft
02.02.2008 10:06 <DIR> .
1 souborů, 62 bajtů
Adresářů: 3, Volných bajtů: 42081624064
Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\Documents and Settings\LocalService\DATAAP~1

15.09.2010 18:08 <DIR> Mozilla
15.09.2010 18:07 <DIR> FileOpen
21.10.2008 19:22 <DIR> Adobe
02.02.2008 09:36 <DIR> Microsoft
02.02.2008 09:36 <DIR> ..
02.02.2008 09:36 <DIR> .
0 souborů, 0 bajtů
Adresářů: 6, Volných bajtů: 42081624064
Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\Documents and Settings\NetworkService\DATAAP~1

02.02.2008 09:36 <DIR> ..
02.02.2008 09:36 <DIR> Microsoft
02.02.2008 09:36 <DIR> .
0 souborů, 0 bajtů
Adresářů: 3, Volných bajtů: 42081619968
Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\Documents and Settings\v2\Application Data

25.11.2008 16:40 <DIR> ..
25.11.2008 16:40 <DIR> Microsoft
25.11.2008 16:40 <DIR> .
0 souborů, 0 bajtů
Adresářů: 3, Volných bajtů: 42081619968

******************************************

2) Zjišťování přítomnosti ve složce Program Files:

a) Výpis obsahu Program Files složky pro zjištění duplicitních kopií podezřelých adresářů:

Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\Program Files

16.09.2010 09:46 <DIR> .
16.09.2010 09:46 <DIR> ..
02.02.2008 11:17 <DIR> 2BrightSparks
30.06.2008 08:38 <DIR> Adobe
02.02.2008 19:54 <DIR> Ahead
04.02.2010 09:33 <DIR> Avant Browser
02.11.2009 14:39 <DIR> AVG
10.08.2010 12:47 <DIR> BitSpirit
31.03.2009 10:34 <DIR> Brother Technology
02.02.2008 21:30 <DIR> Canon
02.02.2008 19:59 <DIR> CanonBJ
27.02.2008 08:24 <DIR> CardFive
27.02.2008 08:21 <DIR> CardFive NPS
21.04.2010 13:32 <DIR> CCleaner
16.09.2010 09:29 <DIR> Common Files
02.02.2008 09:30 <DIR> ComPlus Applications
06.05.2010 07:35 <DIR> Enigma Software Group
15.09.2010 14:35 <DIR> ESET
01.12.2008 09:12 <DIR> FastStone Image Viewer
16.01.2009 14:44 <DIR> FileOpen
02.02.2008 11:16 <DIR> Filzip
14.07.2009 10:55 <DIR> GIMP-2.0
06.08.2010 08:27 <DIR> Google
02.02.2008 10:43 <DIR> Grisoft
04.04.2009 08:31 <DIR> IDM Computer Solutions
17.04.2009 08:05 <DIR> InstallShield Installation Information
02.02.2008 09:57 <DIR> Intel
02.02.2008 09:56 <DIR> Intel Audio Studio
12.08.2010 06:09 <DIR> Internet Explorer
29.07.2010 06:48 <DIR> Java
02.02.2008 10:48 <DIR> K-Lite Codec Pack
08.12.2008 09:15 <DIR> Linksys
14.07.2009 10:59 <DIR> LV8
15.09.2010 13:33 <DIR> Malwarebytes' Anti-Malware
02.02.2008 11:13 <DIR> Media Player Classic
25.08.2008 06:27 <DIR> Messenger
02.02.2008 09:34 <DIR> microsoft frontpage
16.09.2010 07:57 <DIR> Microsoft Hardware
02.02.2008 11:06 <DIR> Microsoft IntelliPoint 4.0
03.04.2008 08:17 <DIR> Microsoft IntelliPoint 5.2
05.03.2010 12:47 <DIR> Microsoft Office
12.08.2010 06:07 <DIR> Movie Maker
17.09.2010 09:51 <DIR> Mozilla Firefox
05.03.2010 12:46 <DIR> MSECache
02.02.2008 09:30 <DIR> MSN Gaming Zone
02.02.2008 09:49 <DIR> MSXML 4.0
25.08.2008 06:21 <DIR> NetMeeting
02.02.2008 09:32 <DIR> Online Services
12.05.2010 08:17 <DIR> Outlook Express
15.07.2010 13:49 <DIR> PDF reDirect
17.04.2009 08:05 <DIR> Print Server Utilities
24.11.2008 16:14 <DIR> PSPad editor
29.07.2010 07:21 <DIR> QuickMediaConverter
02.02.2008 11:13 <DIR> QuickTime Alternative
02.02.2008 09:55 <DIR> SigmaTel
05.08.2010 13:25 <DIR> Skype
06.05.2010 08:02 <DIR> Trend Micro
02.02.2008 09:37 <DIR> Uninstall Information
23.04.2010 06:57 <DIR> Winamp
02.02.2008 16:33 <DIR> Windows Defender
25.08.2008 06:25 <DIR> Windows Media Player
25.08.2008 06:21 <DIR> Windows NT
02.02.2008 09:32 <DIR> WindowsUpdate
21.09.2010 10:00 <DIR> WinRAR
12.10.2009 12:11 <DIR> WinZip
03.09.2010 10:04 <DIR> Xenocode
02.02.2008 09:34 <DIR> xerox
0 souborů, 0 bajtů
Adresářů: 67, Volných bajtů: 42 081 615 872

b) Vyhledávání podvodných sponzorovaných programů ve složce Program Files:

Nebyly nalezeny žádné podvodné programy.

******************************************

3) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\WINDOWS\Tasks

20.09.2010 12:13 330 MP Scheduled Scan.job
20.09.2010 12:10 6 SA.DAT
02.02.2008 09:32 65 desktop.ini
02.02.2008 09:32 <DIR> ..
02.02.2008 09:32 <DIR> .
3 souborů, 401 bajtů
Adresářů: 2, Volných bajtů: 42 081 615 872

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'MP Scheduled Scan.job'
[TRACE] Printing all job properties

ApplicationName: 'C:\Program Files\Windows Defender\MpCmdRun.exe'
Parameters: 'Scan -RestrictPrivileges'
WorkingDirectory: ''
Comment: 'Scheduled Scan'
Creator: 'SYSTEM'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 00/00/0000 0:00:00
NextRun: 09/21/2010 11:00:00
StartError: SCHED_S_TASK_HAS_NOT_RUN
ExitCode: 0
Status: SCHED_S_TASK_HAS_NOT_RUN
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 1
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 0
SystemRequired = 0
Hidden = 1
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Daily
DaysInterval: 1
StartDate: 09/21/2010
EndDate: 00/00/0000
StartTime: 11:00
MinutesDuration: 0
MinutesInterval: 0
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0


––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:


––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C je 80G.
Sériové číslo svazku je BC60-39D6.

Výpis adresáře C:\WINDOWS\Tasks

20.09.2010 12:13 330 MP Scheduled Scan.job
20.09.2010 12:10 6 SA.DAT
02.02.2008 09:32 65 desktop.ini
02.02.2008 09:32 <DIR> ..
02.02.2008 09:32 <DIR> .
3 souborů, 401 bajtů
Adresářů: 2, Volných bajtů: 42 081 587 200

******************************************

4) Zjišťování přítomnosti v registru:

a) Vyhledávání spouštěcích bodů v registru:

Nebyly nalezeny žádné spouštěcí body v registru.

b) Export výjimek IE pop-up blockeru:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"PopupMgr"="yes"

c) Export povolení Windows firewallu:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

»»»»»»»»»»»»» Konec výpisu «««««««««««««««

[jaro3]

Vše , co našel AVP Tool odinstaluj , smaž , hlavně BackDoors...wRar ,WinRar..

stáhni SuperAntiSpyware
aktualizuj databázi , proveď sken a následně nákazy smaž