Vyléčení následků viru Vyřešeno

[MaxDamageCZ]

Dobrý den, řešil jsem problém, že se mi dostalo do pc několik virů a skoro se mi zničilo PC. Naštěstí se mi podařilo to pak odvirovat, ale tak tak. Viry tam už nejsou, ale mám pocit, že ještě není vše OK. Dám vám příklad věcí, které před nakažením jely, ale teď už nejedou:

1)Načítání seznamu serverů u multiplayeru v PC hrách (kdekoli, kde se obnovuje seznam serverů, třeba swat 4, hidden and dangerous 2, call of duty atp.)
2)Nefungujou některé onlinovky (např. http://www.tanoth.cz/ se nejde přihlásit, dám login a nic to neudělá, nebo http://www.the-west.cz/ se při načítání nějaké akce načítá načitá.. do nekonečna, klidně i hodinu a furt jen obrázek s "NAČÍTÁNÍ")
3)Některé onlinovky na http://www.webgames.cz/ a podobných stránkách hlásí, že nemají potřebný plugin, ikdyž jsem ho instaloval
4)na http://www.facebook.com/ když si udělám nějaký kvíz, nevyskočí takové to okno s výsledkem, žádné okna na netu nevyskakují, musí se vždycky všechno manuálně
5) počítač je stále o dost pomalejší než před nakažením


Myslíte, že tam ještě nějaký vir zbyl? Nebo nějak poškodil systém? Díky

[Reklama]

[MaxDamageCZ]

pokud vás zajímá HJT log, tak:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:56, on 25.9.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\SMART Technologies Inc\SMART Board Software\SMARTBoardService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Documents and Settings\Marek\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Marek\Local Settings\Data aplikací\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\Documents and Settings\Marek\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marek\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marek\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: &Crawler lišta - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marek\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\F-Secure\ORSP Client\fsorsp.exe
O23 - Service: Google Update Service (gupdate1ca18e6298cdd6) (gupdate1ca18e6298cdd6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Služba SMART Board (SMART Board Service) - SMART Technologies Inc. - C:\Program Files\SMART Technologies Inc\SMART Board Software\SMARTBoardService.exe

--
End of file - 6590 bytes

[peacoq]

Vsimnul jsem si, z enektere veci resit stale v tom smysu, ze poukazujes na predchozi odvirovani a mozne nasledky po odvirovacim procesu. (kdyz si nejsi jisty, tak to preinstaluj aj ko zakladni; prekontroluj PC diagnostikou vyrobce, vice stejne udelat nemuzes)
Je sice malo pravdepodobne, ale mozne, ze vir poskodi i 'streva komplu', tj. samotne ridici operace (coz ale ani preinstalce nemusi vyresit, protoze neni mysleno system - Opercani system, ale system samotneho PC, tj. pocitacove rozhrani).

add. 1: multiplayer - k tomuto jsi uz jednouuvadel, ze se sice pripojis, kdyz das vyhledat server - primo ze stranky prohlizece, ale obecne ...prekontroluj, zda mas hernni servery povolene ve firewallu
/ osoben a nahodou ja hraji jen COD a to na americkych serverech a Refresh mi funguje
add. 2: nenacteni stranky - mas stranky povolene?, firewall (a nebo takova ta horni lista co vyskakuje ohledne povoleni, je mozne, ze jsi si ji jednou zakazal a ono si to ted pamatuje a stranku to zobrazi, ale 'zasekne se' pri nacitavani, protze jakoby neni povolena)
/ www c. 1 i www c.2 se me nacitaji bez problemu
add. 3: plugin - oznameni o nainsalovani pluginu a nasledne kliknuti 'insatlovat' muze skoncit prikazem 'instaluj manualne', tj. plugin neni nainstalovan v poradku, a musis ho vyhledat a instalovat
/ zkusil jsem tam par jakyhsi her a v poradku
add. 4: vyskakovani okna - pop-out - mas vube povolene vyskakovani oken? (lide to casto zakazi, aby nevyskakovaly reklamni okna, ale potom to narusi spravnych chod jinych stranek, ktere vyskakovaci okna nutne potrebuji ke svemu spravenmu chodu)
Lista Mozilla FF: Nastroje - Moznosti - Obsah - Blokovani vyskakovacich oken
/ to zkouset nebudu, protze s emi nechce, ale obecne vyskakovani oken je danne moznostmi povoleni, a soucasne je mozne, ze by jsi proti vyskakovani oken mohl mit instalovany nejaky doplnek ...a to potom ani povoleni uvedenym zpusobem pres Nastroje MFF nepomuze - je nutne doplnek zakazu vyskavani oken pop-out odinstalovat
(K tomuto ucelu mozes MFF spustit i v Nouzovem rezimu (Start/Spustit - Slozka MFF - Safe Mode), kdy MFF pojede jan v zakladnim nastaveni, bez doplnku, apod.)
add. 5: pomale PC - (?) uvadis, nez pred nakazenim a odvirovavanim - tak to je otazka, protoze pomalost muze byt zpusobena i trvalym zhorsenim kvaliti internet.pripojeni, a podobnymi fyzickymi omezenimi, kterech jsi si predtim nemuzel povsimnout (Obecne k tomu asi ale nejde vice co rict, nez pak uz jen prehlceni PC zbytecne bezicimi procsy, apod.)

[MaxDamageCZ]

1)OK tak to přežiju i bez toho
2)Ne, nic mi nevyskakuje, jen se to donekonečna načítá (takový obrázek s motivem http://www.the-west.cz/ na kterém se točí takové kolečko a píše to "prosím čekejte", u http://www.tanoth.cz/ taky ne, dám login, nic se nestane, nic se nenačítá.. prostě stojí)
3)a kde mám ten plugin sehnat, nějaký funkční, bo někdy přímo na té herní stránce bývá "pokud vám hra nejede, tak instalujte toto a toto (odkaz), tam ale když kliknu a installnu to, tak to stejně nejede
4)nevíte, jak se to dělá u prohlížeče Google Chrome? Když ne, neva, někde to najdu
5)nemám co dodat... asi máš pravdu

[peacoq]

1, prekontroloval jsi si povoleni ve firewallu? (a nebo moznost; ok,najek to bez toho preziju,...povazuje za vyreseni?) Moznost je i takovato: hernni servery se venuji problemovym IP a je mozne, ze jsi nekde dostal 'ban' a nasledkem toho si nekdo v premire aktivity tvoji IP priradil na svuj server, je to sice stupidita, ale mozne to je - ale je zase blbost, protze tobe se to deje u vsech multiplaeyru, jak jsem pochopil, ...takze se nabizi nejpravdepodobnejsi verze a to ne blokovani firewalem.
2, jak jsem uvedl, me se obe www nacitaji okamzite (plati to same - povoleni stranky, casto si to lide zakazi chybnym odkliknutim one listy, ktera vyskakuje nahore a umoznuje povoleni/zamitnuti zobrazeni stranky)
3, plugin - to co uvadis je caste; kliknes instalovat a ono prd. V tomto pripade je tam uvedeno co mas manualne instalovat, nevim co to instalujes, muze to byt klasicky Flash Player, a nebo jiny mene obvykly plugin, ...ale v kazdem pripade ja tam napsano o co se jedna, napriklad: instaluj real player plugin, a podobne ..takze musism googlit, vyhledat, stahnout, instalovat
4, G Chrome nepouzivam a nezmam nikoho, kdo by to pouzival z duvodu nebezpecne licencni smlouvo o zalohovani vseho co na GCh napises ...takz nevim a nechci o tomto prihlizeci nic vedet. Nicmene princip by mel byt/mohl byt stejny (podle obrazku, bud nastavis blokovat - a pouzijes vyjimku a nbo neblokovat a potm vyskakuje vse automaticky)
5, ohledne pravdy nevim. Je to zakladni a obecne predpoklad, rpekontroluj si kavlitu pripojeni aspon tady: http://rychlost.cz/

[MaxDamageCZ]

1) Firewall nebrani, zkusil jsem je i všechny vypnout, nešlo
2) Myslím, že jsem tam nic neodklikával, windows firewall jsem měl vypnutý
3)jo, stáhl jsem už to jede, díky, VYŘEŠENO
4)to se mi nepodařilo zjistit, ale na mozille to jede, takže FB atp. budu používat na mozilla firefox

[peacoq]

Tak aspon neco :) ...a co toto:

1, multiplayer a Firewall ...nebrani, zkusil jsem je i všechny vypnout ...muzes mi vysvetlit co znamen 'vsechny vypnout' ...na PC ma jen jen jeden antivir, jeden defender, jeden firewall (nema-li antivir tyto ochrany jiz ve svem nastaveni). Kdyz nainstaluje FW ten tovarni se (vetsinou sam) vypne. (Poznamka: a jeslti si mas nainstalovany treba i nejaky jiny Defender, tak Windows Defender se musi deaktivivat.)
3, nacitani stranek - vymas cookies - Horni lista prohlizece > Nastroje > Soukromi > Vymaz historii a cookies (mas-li na dannaou stranku ulozene i prihlasovaci heslo, (ujisti se,z e ho mas poznacene, a smaz ho v seznamu 'paatovani si hesel'): Lista > Nastroje > Zabezpeceni > Ulozene hesla (vyber a smaz))
4, blokovani vyskakovani okna (zapomenul jsem ten pbrazek): viz priloha (je-li to jen problem na G Chrome je to tedy zalezitost zakazani techto oken v dannem prohlizeci)

Pop-out okno:


Mazani historie (cookies) a hesla:

[Damned]

Odinstaluj si Crawler Toolbar.

Spusť HJT (HijackThis), vypni prohlížeče, odpoj se od internetu a fixni (spustit HJT, "Do a system scan only",
zatrhnout políčko před hodnotou, zmáčknout "Fix checked" a poté "Ano"):

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: &Crawler lišta - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
****************************************************************************************************************************************
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[MaxDamageCZ]

Malwarebytes' Anti-Malware 1.41
Verze databáze: 2857
Windows 5.1.2600 Service Pack 3

25.9.2009 18:01:35
mbam-log-2009-09-25 (18-01-27).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 123461
Uplynulý čas: 12 minute(s), 32 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\RECYCLER\S-1-5-21-1409082233-220523388-1801674531-1004\Dc19.exe (Adware.MyWebSearch) -> No action taken.

[Damned]

Takže spusť znovu MbAM a dej Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Vypni rezidentní štít antiviru (pokud máš tak i antispyware).
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[MaxDamageCZ]

Malwarebytes' Anti-Malware 1.41
Verze databáze: 2857
Windows 5.1.2600 Service Pack 3

25.9.2009 18:21:48
mbam-log-2009-09-25 (18-21-48).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 123452
Uplynulý čas: 8 minute(s), 19 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\RECYCLER\S-1-5-21-1409082233-220523388-1801674531-1004\Dc19.exe (Adware.MyWebSearch) -> Quarantined and deleted successfully.

[MaxDamageCZ]

ComboFix 09-09-24.01 - Marek 25.09.2009 18:27.15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.520 [GMT 2:00]
Spuštěný z: c:\documents and settings\Marek\Plocha\ComboFix.exe
AV: F-Secure Profi Antivirus 8.01 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: F-Secure Profi Antivirus 8.01 *disabled* {D4747503-0346-49EB-9262-997542F79BF4}
* Vytvořen nový Bod Obnovení
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Marek\Data aplikací\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Marek\Data aplikací\Microsoft\Clip Organizer\Offic10.MGC

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-08-25 do 2009-09-25 )))))))))))))))))))))))))))))))
.

2009-09-25 16:05 . 2009-09-25 16:10 -------- d-----w- c:\program files\Common Files\Symantec Shared
2009-09-25 12:11 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-25 12:11 . 2009-09-25 12:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-25 12:11 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-25 08:41 . 2009-09-25 08:41 -------- d---a-w- c:\windows\VDLL.DLL
2009-09-25 08:41 . 2009-09-25 08:41 -------- d---a-w- c:\windows\RUNDL132.EXE
2009-09-25 08:41 . 2009-09-25 08:41 -------- d---a-w- c:\windows\logo_1.exe
2009-09-23 14:25 . 2009-09-23 14:25 -------- d-----w- c:\program files\NortonInstaller
2009-09-23 14:23 . 2009-09-25 12:35 -------- d-----w- c:\windows\system32\Adobe
2009-09-23 14:02 . 2009-09-23 14:02 -------- d-----w- c:\program files\Warp
2009-09-21 16:34 . 2009-09-22 17:00 -------- d-----w- c:\program files\Call of Juarez SP Demo
2009-09-21 15:15 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-09-20 13:28 . 2009-09-21 15:01 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-09-19 18:02 . 2009-09-19 18:18 33920 ----a-w- c:\windows\system32\drivers\fsbts.sys
2009-09-19 18:02 . 2008-12-04 13:57 79872 ----a-w- c:\windows\system32\drivers\fsdfw.sys
2009-09-19 18:00 . 2009-09-25 11:25 -------- d-----w- c:\program files\F-Secure
2009-09-19 17:46 . 2009-09-19 17:52 -------- d-----w- c:\program files\Alwil Software
2009-09-19 15:30 . 2009-09-19 15:31 -------- d-----w- c:\program files\Security Task Manager
2009-09-19 14:58 . 2009-09-19 14:58 -------- d-----w- c:\documents and settings\Marek\temp
2009-09-19 09:33 . 2009-09-19 17:45 -------- d-----w- c:\program files\ESET
2009-09-18 17:23 . 2009-09-18 17:23 12 ----a-w- c:\documents and settings\Marek\USERDATA.DAT
2009-09-12 15:56 . 2009-09-12 16:03 -------- d-----w- c:\program files\ICQ6.5
2009-09-10 15:29 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-01 16:41 . 2009-09-01 16:43 -------- d-----w- c:\program files\Common Files\Jasc Software Inc
2009-09-01 16:40 . 2009-09-01 16:41 -------- d-----w- c:\program files\Jasc Software Inc
2009-09-01 16:33 . 2009-09-01 16:33 -------- d-----w- c:\program files\Bonjour
2009-09-01 16:05 . 2009-09-01 16:05 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2009-09-01 14:34 . 2009-09-01 14:34 160285 ----a-w- c:\windows\Sqirlz Morph Uninstaller.exe
2009-09-01 14:34 . 2009-09-01 14:34 -------- d-----w- c:\program files\Sqirlz Morph

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-21 15:11 . 2007-01-20 12:48 -------- d-----w- c:\program files\Lavasoft
2009-09-20 11:54 . 2009-08-01 15:05 -------- d-----w- c:\program files\Crawler
2009-09-19 18:02 . 2004-08-18 12:00 95722 ----a-w- c:\windows\system32\perfc005.dat
2009-09-19 18:02 . 2004-08-18 12:00 467428 ----a-w- c:\windows\system32\perfh005.dat
2009-09-19 13:09 . 2009-07-28 08:44 -------- d-----w- c:\program files\Trend Micro
2009-09-12 15:57 . 2008-05-29 15:58 -------- d-----w- c:\program files\ICQ6
2009-09-05 16:41 . 2006-07-04 06:24 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-02 09:26 . 2008-11-06 15:38 -------- d-----w- c:\program files\NextUp Talker
2009-09-01 16:54 . 2006-07-10 07:04 -------- d-----w- c:\program files\Common Files\Adobe
2009-08-31 14:44 . 2008-02-03 17:51 -------- d-----w- c:\program files\Toribash-3.1
2009-08-31 13:59 . 2009-08-09 10:20 -------- d-----w- c:\program files\Passware
2009-08-31 13:54 . 2009-04-13 16:45 -------- d-----w- c:\program files\Free Power Word to Pdf Converter
2009-08-31 13:54 . 2009-04-13 16:34 -------- d-----w- c:\program files\Free PDF to Word Doc Converter
2009-08-31 13:41 . 2008-06-02 12:40 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-08-31 13:39 . 2006-08-25 09:21 -------- d-----w- c:\program files\Sony Ericsson
2009-08-31 13:39 . 2006-08-25 09:21 -------- d-----w- c:\program files\Common Files\Teleca Shared
2009-08-31 13:37 . 2008-11-05 19:11 -------- d-----w- c:\program files\Text to Speech Maker
2009-08-31 13:23 . 2009-06-30 11:44 -------- d-----w- c:\program files\MumboJumbo
2009-08-31 13:23 . 2009-02-24 13:08 -------- d-----w- c:\program files\Wanadoo Edition
2009-08-31 13:13 . 2009-08-03 15:13 -------- d-----w- c:\program files\Actual Drawing
2009-08-31 13:13 . 2009-05-06 16:55 -------- d-----w- c:\program files\Acoustica Mixcraft
2009-08-22 18:03 . 2007-05-07 10:42 -------- d-----w- c:\program files\Rockstar Games
2009-08-13 13:33 . 2006-09-09 18:51 -------- d-----w- c:\program files\Java
2009-08-09 11:54 . 2006-09-09 18:52 -------- d-----w- c:\program files\Google
2009-08-08 09:53 . 2009-08-08 09:51 -------- d-----w- c:\program files\Canon
2009-08-08 09:50 . 2009-08-08 09:50 -------- d-----w- c:\program files\Common Files\Canon
2009-08-05 09:01 . 2004-08-18 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-01 16:38 . 2008-08-02 17:50 -------- d-----w- c:\program files\Windows Desktop Search
2009-08-01 15:00 . 2009-07-30 11:56 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-07-28 17:50 . 2009-07-28 17:50 -------- d-----w- c:\program files\PetrLite
2009-07-28 15:52 . 2009-07-28 15:52 28672 ----a-w- c:\windows\system32\eEmpty.exe
2009-07-28 15:36 . 2009-07-28 15:36 -------- d-----w- c:\program files\CCleaner
2009-07-28 15:30 . 2009-07-28 15:30 118842 ------r- c:\windows\bwUnin-6.3.2.116-7681197L.exe
2009-07-28 15:25 . 2009-07-28 15:16 -------- d-----w- c:\program files\RegCleaner
2009-07-28 14:03 . 2009-07-28 14:03 -------- d-----w- c:\program files\McAfee UnInstaller 6.5 Demo English
2009-07-28 13:59 . 2009-07-28 13:58 -------- d-----w- c:\program files\Smarty Uninstaller Pro
2009-07-28 13:57 . 2009-07-28 13:57 -------- d-----w- c:\program files\VS Revo Group
2009-07-27 15:10 . 2006-07-05 17:26 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-25 03:23 . 2009-08-04 11:37 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:04 . 2004-08-18 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-18 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:59 . 2004-08-18 12:00 915456 ------w- c:\windows\system32\wininet.dll
2004-08-23 21:38 . 2004-08-23 21:38 3371 ----a-w- c:\program files\!!!readme.txt
2004-08-23 19:08 . 2004-08-23 19:08 83968 -c--a-w- c:\program files\NB_NB_2_12_37.xls
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-09-04 81920]
"Google Update"="c:\documents and settings\Marek\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" [2009-06-20 133104]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2008-12-04 182936]
"F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2008-12-04 957024]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrB"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe"=
"c:\\Program Files\\Electronic Arts\\Need For Speed III\\nfs3.exe"=
"c:\\Program Files\\Sierra\\SWAT 4\\Content\\System\\Swat4.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Program Files\\Illusion Softworks\\Hidden & Dangerous 2\\hd2.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"c:\\Sierra\\CoolPool\\coolpool.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Codemasters\\Worms 4 Totalni narez\\Worms 4 Mayhem.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Program Files\\Hamachi\\hamachi.exe"=
"c:\\Program Files\\Electronic Arts\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=
"c:\\Program Files\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Documents and Settings\\Marek\\Local Settings\\Data aplikací\\Dyyno Receiver\\DPPM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\keyclone\\keyclone.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\Program Files\\World of Warcraft\\WoW-3.0.1-to-3.0.2-enGB-Win-Update-downloader.exe"=
"c:\\Documents and Settings\\Marek\\Local Settings\\Data aplikací\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\Marek\\Local Settings\\Data aplikací\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2869:TCP"= 2869:TCP:@xpsp2res.dll,-22008
"11001:TCP"= 11001:TCP:H&D2 port 11001
"11001:UDP"= 11001:UDP:H&D2 port 11001
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"12001:UDP"= 12001:UDP:SMART WebServer Handshake Multicast Port
"6112:TCP"= 6112:TCP:Blizzard Downloader

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [19.9.2009 20:02 33920]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [19.9.2009 20:02 79872]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [21.9.2009 17:15 64160]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [5.7.2006 14:46 63352]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\HIPS\drivers\fshs.sys [19.9.2009 20:01 67808]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [3.7.2009 16:49 1028432]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [19.9.2009 20:01 99960]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [19.9.2009 20:01 55904]
S2 gupdate1ca18e6298cdd6;Google Update Service (gupdate1ca18e6298cdd6);c:\program files\Google\Update\GoogleUpdate.exe [9.8.2009 13:39 133104]
S3 axskbus;axskbus;c:\windows\system32\DRIVERS\axskbus.sys --> c:\windows\system32\DRIVERS\axskbus.sys [?]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.2.2008 20:49 13352]
S3 M1000Srv;M5603C USB2.0 Camera Driver;c:\windows\system32\Drivers\M1000KNT.sys --> c:\windows\system32\Drivers\M1000KNT.sys [?]
S4 BackWeb Plug-in - 7681197;F-Secure Automatic Update;c:\progra~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE --> c:\progra~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [?]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\F-Secure\Anti-Virus\win2k\fsfilter.sys [19.9.2009 20:01 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\F-Secure\Anti-Virus\win2k\fsrec.sys [19.9.2009 20:01 25184]
S4 SMART Web Server;SMART Web Server;c:\program files\SMART Technologies Inc\SMART Board Software\WebServer.exe [19.4.2007 7:42 759312]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Obsah adresáře 'Naplánované úlohy'

2009-09-21 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 15:14]

2009-06-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]

2009-09-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-09 11:38]

2009-09-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-09 11:38]

2009-09-25 c:\windows\Tasks\User_Feed_Synchronization-{CB8F93AA-F0A1-41BE-9268-229B640A54CD}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]

2009-09-25 c:\windows\Tasks\User_Feed_Synchronization-{D8C6849B-BD9A-4B92-970F-E7635BC45510}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
LSP: c:\program files\F-Secure\FSPS\program\FSLSP.DLL
FF - ProfilePath - c:\documents and settings\Marek\Data aplikací\Mozilla\Firefox\Profiles\j2ggv3xx.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-25 18:40
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1409082233-220523388-1801674531-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:df,62,2c,55,b4,92,8c,81,8f,81,d7,2e,f6,2f,99,2a,af,76,f8,bb,39,8e,53,
3b,98,84,f3,a1,74,26,e8,39,f4,22,d8,75,d3,12,9d,76,c2,c3,f8,38,95,43,4a,2c,\
"??"=hex:a9,1b,d4,2d,84,8a,c8,cc,72,9b,3f,aa,56,b9,ca,9f
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(840)
c:\program files\F-Secure\FSPS\program\FSLSP.DLL
.
Celkový čas: 2009-09-25 18:43
ComboFix-quarantined-files.txt 2009-09-25 16:42

Před spuštěním: Volných bajtů: 135 078 187 008
Po spuštění: Volných bajtů: 135 126 536 192

228 --- E O F --- 2009-09-10 19:27