V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému
Toto otestuj na Virustotal
c:\program files\Adobe Arkalis\Adobe_Arkalis.exe
Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/43 , nebo 1/43. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.
Nebo na:
http://www.virscan.org/
Podezření na bitcoin miner Vyřešeno
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43297
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Podezření na bitcoin miner
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Podezření na bitcoin miner
Tady je odkaz na testování na virustotal:
https://www.virustotal.com/cs/file/a932 ... 415187423/
https://www.virustotal.com/cs/file/a932 ... 415187423/
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43297
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Podezření na bitcoin miner
Adobe Arkalis -- ten program používáš?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Podezření na bitcoin miner
Nepoužívám ho a ani netuším, co to je.
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43297
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Podezření na bitcoin miner
Zkus odinstalovat , jestli půjde , pak napiš , odstraníme V Combofixu.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Podezření na bitcoin miner
Odinstalovat nejde, protože se nenachází v seznamu aplikací.
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43297
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Podezření na bitcoin miner
Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.
Stáhni si aswMBR
na svojí plochu. Uzavři všechna okna , programy a prohlížeče. Poklepej na aswMBR.exe. Pokud se objeví hláška o možnosti stáhnutí databáze Avastu , klikni na NE. Poté klikni na „Scan“ . Po skenu klikni na „Save Log“ a ulož si log na plochu .Zkopíruj sem celý obsah toho logu. Pak klikni na „Exit“ k zavření programu.
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Kód: Vybrat vše
ClearJavaCache::
KillAll::
File::
c:\program files\Adobe Arkalis\Adobe_Arkalis.exe
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
Folder::
c:\program files\Adobe Arkalis
c:\program files\Google\Update
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsDriverScan86"=-
"WindowsDriverScan64"=-
RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.
Stáhni si aswMBR
na svojí plochu. Uzavři všechna okna , programy a prohlížeče. Poklepej na aswMBR.exe. Pokud se objeví hláška o možnosti stáhnutí databáze Avastu , klikni na NE. Poté klikni na „Scan“ . Po skenu klikni na „Save Log“ a ulož si log na plochu .Zkopíruj sem celý obsah toho logu. Pak klikni na „Exit“ k zavření programu.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Podezření na bitcoin miner
ComboFix 14-10-29.01 - Gabriel 06.11.2014 19:42:32.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1788.834 [GMT 1:00]
Spuštěný z: c:\users\Gabriel\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Gabriel\Desktop\CFscript.txt
AV: avast! Antivirus *Disabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
SP: avast! Antivirus *Disabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\program files\Adobe Arkalis\Adobe_Arkalis.exe"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Adobe Arkalis
c:\program files\Adobe Arkalis\_ctypes.pyd
c:\program files\Adobe Arkalis\_hashlib.pyd
c:\program files\Adobe Arkalis\_socket.pyd
c:\program files\Adobe Arkalis\_win32sysloader.pyd
c:\program files\Adobe Arkalis\562e6d3d521869074e7e7c6d7ef6cd46.elf
c:\program files\Adobe Arkalis\Adobe_Arkalis.exe
c:\program files\Adobe Arkalis\API-MS-Win-Core-LocalRegistry-L1-1-0.dll
c:\program files\Adobe Arkalis\Arkalis.bat
c:\program files\Adobe Arkalis\Arkalis.lnk
c:\program files\Adobe Arkalis\Arkalis86.lnk
c:\program files\Adobe Arkalis\boost_python-vc90-mt-1_48.dll
c:\program files\Adobe Arkalis\daa46b277f76001f9104e6627449767f.elf
c:\program files\Adobe Arkalis\defaults.ini
c:\program files\Adobe Arkalis\library.zip
c:\program files\Adobe Arkalis\MPR.dll
c:\program files\Adobe Arkalis\msvcp90.dll
c:\program files\Adobe Arkalis\nircmd.exe
c:\program files\Adobe Arkalis\numpy.core._dotblas.pyd
c:\program files\Adobe Arkalis\numpy.core.multiarray.pyd
c:\program files\Adobe Arkalis\numpy.core.scalarmath.pyd
c:\program files\Adobe Arkalis\numpy.core.umath.pyd
c:\program files\Adobe Arkalis\numpy.fft.fftpack_lite.pyd
c:\program files\Adobe Arkalis\numpy.lib._compiled_base.pyd
c:\program files\Adobe Arkalis\numpy.linalg.lapack_lite.pyd
c:\program files\Adobe Arkalis\numpy.random.mtrand.pyd
c:\program files\Adobe Arkalis\phatk.cl
c:\program files\Adobe Arkalis\po_to_mo.exe
c:\program files\Adobe Arkalis\pyopencl._cl.pyd
c:\program files\Adobe Arkalis\pyopencl._pvt_struct.pyd
c:\program files\Adobe Arkalis\python26.dll
c:\program files\Adobe Arkalis\python27.dll
c:\program files\Adobe Arkalis\pythoncom27.dll
c:\program files\Adobe Arkalis\pywintypes27.dll
c:\program files\Adobe Arkalis\select.pyd
c:\program files\Adobe Arkalis\w9xpopen.exe
c:\program files\Adobe Arkalis\win32api.pyd
c:\program files\Adobe Arkalis\win32pdh.pyd
c:\program files\Adobe Arkalis\win32pipe.pyd
c:\program files\Adobe Arkalis\win32process.pyd
c:\program files\Adobe Arkalis\win32ui.pyd
c:\program files\Adobe Arkalis\win32wnet.pyd
c:\program files\Adobe Arkalis\wx._controls_.pyd
c:\program files\Adobe Arkalis\wx._core_.pyd
c:\program files\Adobe Arkalis\wx._gdi_.pyd
c:\program files\Adobe Arkalis\wx._misc_.pyd
c:\program files\Adobe Arkalis\wx._windows_.pyd
c:\program files\Adobe Arkalis\wxbase28uh_net_vc.dll
c:\program files\Adobe Arkalis\wxbase28uh_vc.dll
c:\program files\Adobe Arkalis\wxmsw28uh_adv_vc.dll
c:\program files\Adobe Arkalis\wxmsw28uh_core_vc.dll
c:\program files\Adobe Arkalis\wxmsw28uh_html_vc.dll
c:\program files\Google\Update
c:\program files\Google\Update\1.3.25.5\GoogleCrashHandler.exe
c:\program files\Google\Update\1.3.25.5\GoogleCrashHandler64.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdate.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdateBroker.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdateComRegisterShell64.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdateHelper.msi
c:\program files\Google\Update\1.3.25.5\GoogleUpdateOnDemand.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdateSetup.exe
c:\program files\Google\Update\1.3.25.5\goopdate.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_am.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ar.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_bg.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_bn.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ca.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_cs.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_da.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_de.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_el.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_en-GB.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_en.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_es-419.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_es.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_et.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_fa.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_fi.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_fil.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_fr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_gu.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_hi.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_hr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_hu.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_id.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_is.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_it.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_iw.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ja.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_kn.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ko.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_lt.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_lv.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ml.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_mr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ms.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_nl.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_no.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_pl.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_pt-BR.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_pt-PT.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ro.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ru.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sk.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sl.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sv.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sw.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ta.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_te.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_th.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_tr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_uk.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ur.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_vi.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_zh-CN.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_zh-TW.dll
c:\program files\Google\Update\1.3.25.5\npGoogleUpdate3.dll
c:\program files\Google\Update\1.3.25.5\psmachine.dll
c:\program files\Google\Update\1.3.25.5\psmachine_64.dll
c:\program files\Google\Update\1.3.25.5\psuser.dll
c:\program files\Google\Update\1.3.25.5\psuser_64.dll
c:\program files\Google\Update\Download\{430FD4D0-B729-4F61-AA34-91526481799D}\1.3.25.5\GoogleUpdateSetup.exe
c:\program files\Google\Update\Download\{4DC8B4CA-1BDA-483E-B5FA-D3C12E15B62D}\38.0.2125.111\38.0.2125.111_38.0.2125.104_chrome_updater.exe
c:\program files\Google\Update\GoogleUpdate.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_gupdate
-------\Service_gupdatem
-------\Service_gupdate
-------\Service_gupdatem
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2014-10-06 do 2014-11-06 )))))))))))))))))))))))))))))))
.
.
2014-11-06 18:51 . 2014-11-06 18:54 -------- d-----w- c:\users\Gabriel\AppData\Local\temp
2014-11-06 18:51 . 2014-11-06 18:51 -------- d-----w- c:\users\Minecraft\AppData\Local\temp
2014-11-06 18:51 . 2014-11-06 18:51 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-11-04 20:10 . 2014-11-04 19:47 24064 ----a-w- c:\windows\zoek-delete.exe
2014-11-04 19:47 . 2014-11-04 20:07 -------- d-----w- C:\zoek_backup
2014-11-04 16:23 . 2014-11-04 20:13 34808 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2014-11-04 16:23 . 2014-11-04 16:23 -------- d-----w- c:\programdata\RogueKiller
2014-11-04 16:19 . 2014-11-04 16:19 -------- d-----w- c:\windows\ERUNT
2014-11-04 10:44 . 2010-08-30 07:34 536576 ----a-w- c:\windows\system32\sqlite3.dll
2014-11-04 10:43 . 2014-11-04 16:08 -------- d-----w- C:\AdwCleaner
2014-11-03 18:37 . 2014-11-06 18:29 114904 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-11-03 18:36 . 2014-11-03 18:36 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2014-11-03 18:36 . 2014-10-01 10:11 51928 ----a-w- c:\windows\system32\drivers\mwac.sys
2014-11-03 18:36 . 2014-10-01 10:11 75480 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2014-11-03 18:36 . 2014-10-01 10:11 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-08-01 21:36 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2010-03-17 495708]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-08-01 4085896]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2013-04-29 642304]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /p \??\F:\0autocheck autochk *
.
[HKLM\~\startupfolder\C:^Users^Gabriel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk]
path=c:\users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk
backup=c:\windows\pss\Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-08-21 16:30 959176 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 02:44 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-02-22 03:57 406992 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-21 02:25 125952 ----a-w- c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FlashPlayerUpdate]
2014-02-21 20:14 841096 ----a-w- c:\windows\System32\Macromed\Flash\FlashUtil32_12_0_0_70_Plugin.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 23:47 31016 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2010-02-22 10:40 2363392 ----a-w- c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
2010-04-12 08:40 180224 ----a-w- c:\program files\PowerISO\PWRISOVM.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QLBController]
2010-03-01 09:26 256056 ----a-w- c:\program files\Hewlett-Packard\HP HotKey Support\QLBController.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-03-28 22:37 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2013-07-02 08:16 254336 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_07801e50\aestsrv.exe [2009-03-03 81920]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-02-22 10:38 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-10-28 22:21 1089352 ----a-w- c:\program files\Google\Chrome\Application\38.0.2125.111\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2014-11-06 c:\windows\Tasks\User_Feed_Synchronization-{E012C74F-D339-4187-B337-CBDD4745F6A5}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést do Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Připojit cíl vazby k existujícímu PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Připojit k existujícímu PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
TCP: DhcpNameServer = 213.46.172.36 213.46.172.37
FF - ProfilePath - c:\users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\dvgp4z1s.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?btnG=Google+Search&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?btnG=Google+Search&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-11-06 19:54
Windows 6.0.6002 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-277744730-1956108277-3371775194-1000\Software\SecuROM\License information*]
"datasecu"=hex:40,b4,27,8c,1e,92,f2,bd,85,7f,5c,f8,85,e7,1f,e5,3c,d7,c2,8a,79,
f6,91,f3,57,0e,62,47,73,3a,04,6e,20,5e,f8,e2,db,eb,18,1b,d6,d8,7e,6d,6f,c7,\
"rkeysecu"=hex:04,c4,06,ef,9c,08,5a,d4,82,d7,ab,e1,99,17,9c,3d
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\atiesrxx.exe
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_07801e50\STacSV.exe
c:\windows\system32\atieclxx.exe
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\conime.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\LSI SoftModem\agrsmsvc.exe
c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
c:\program files\Hewlett-Packard\HP HotKey Support\hpHotkeyMonitor.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Malwarebytes Anti-Malware\mbamscheduler.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wbem\unsecapp.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Celkový čas: 2014-11-06 19:58:09 - počítač byl restartován
ComboFix-quarantined-files.txt 2014-11-06 18:58
ComboFix2.txt 2014-11-04 20:55
.
Před spuštěním: Volných bajtů: 28 855 529 472
Po spuštění: Volných bajtů: 28 692 451 328
.
- - End Of File - - 1371341F35331CD9572E1A0297399ABA
5C616939100B85E558DA92B899A0FC36
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1788.834 [GMT 1:00]
Spuštěný z: c:\users\Gabriel\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Gabriel\Desktop\CFscript.txt
AV: avast! Antivirus *Disabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
SP: avast! Antivirus *Disabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\program files\Adobe Arkalis\Adobe_Arkalis.exe"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Adobe Arkalis
c:\program files\Adobe Arkalis\_ctypes.pyd
c:\program files\Adobe Arkalis\_hashlib.pyd
c:\program files\Adobe Arkalis\_socket.pyd
c:\program files\Adobe Arkalis\_win32sysloader.pyd
c:\program files\Adobe Arkalis\562e6d3d521869074e7e7c6d7ef6cd46.elf
c:\program files\Adobe Arkalis\Adobe_Arkalis.exe
c:\program files\Adobe Arkalis\API-MS-Win-Core-LocalRegistry-L1-1-0.dll
c:\program files\Adobe Arkalis\Arkalis.bat
c:\program files\Adobe Arkalis\Arkalis.lnk
c:\program files\Adobe Arkalis\Arkalis86.lnk
c:\program files\Adobe Arkalis\boost_python-vc90-mt-1_48.dll
c:\program files\Adobe Arkalis\daa46b277f76001f9104e6627449767f.elf
c:\program files\Adobe Arkalis\defaults.ini
c:\program files\Adobe Arkalis\library.zip
c:\program files\Adobe Arkalis\MPR.dll
c:\program files\Adobe Arkalis\msvcp90.dll
c:\program files\Adobe Arkalis\nircmd.exe
c:\program files\Adobe Arkalis\numpy.core._dotblas.pyd
c:\program files\Adobe Arkalis\numpy.core.multiarray.pyd
c:\program files\Adobe Arkalis\numpy.core.scalarmath.pyd
c:\program files\Adobe Arkalis\numpy.core.umath.pyd
c:\program files\Adobe Arkalis\numpy.fft.fftpack_lite.pyd
c:\program files\Adobe Arkalis\numpy.lib._compiled_base.pyd
c:\program files\Adobe Arkalis\numpy.linalg.lapack_lite.pyd
c:\program files\Adobe Arkalis\numpy.random.mtrand.pyd
c:\program files\Adobe Arkalis\phatk.cl
c:\program files\Adobe Arkalis\po_to_mo.exe
c:\program files\Adobe Arkalis\pyopencl._cl.pyd
c:\program files\Adobe Arkalis\pyopencl._pvt_struct.pyd
c:\program files\Adobe Arkalis\python26.dll
c:\program files\Adobe Arkalis\python27.dll
c:\program files\Adobe Arkalis\pythoncom27.dll
c:\program files\Adobe Arkalis\pywintypes27.dll
c:\program files\Adobe Arkalis\select.pyd
c:\program files\Adobe Arkalis\w9xpopen.exe
c:\program files\Adobe Arkalis\win32api.pyd
c:\program files\Adobe Arkalis\win32pdh.pyd
c:\program files\Adobe Arkalis\win32pipe.pyd
c:\program files\Adobe Arkalis\win32process.pyd
c:\program files\Adobe Arkalis\win32ui.pyd
c:\program files\Adobe Arkalis\win32wnet.pyd
c:\program files\Adobe Arkalis\wx._controls_.pyd
c:\program files\Adobe Arkalis\wx._core_.pyd
c:\program files\Adobe Arkalis\wx._gdi_.pyd
c:\program files\Adobe Arkalis\wx._misc_.pyd
c:\program files\Adobe Arkalis\wx._windows_.pyd
c:\program files\Adobe Arkalis\wxbase28uh_net_vc.dll
c:\program files\Adobe Arkalis\wxbase28uh_vc.dll
c:\program files\Adobe Arkalis\wxmsw28uh_adv_vc.dll
c:\program files\Adobe Arkalis\wxmsw28uh_core_vc.dll
c:\program files\Adobe Arkalis\wxmsw28uh_html_vc.dll
c:\program files\Google\Update
c:\program files\Google\Update\1.3.25.5\GoogleCrashHandler.exe
c:\program files\Google\Update\1.3.25.5\GoogleCrashHandler64.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdate.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdateBroker.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdateComRegisterShell64.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdateHelper.msi
c:\program files\Google\Update\1.3.25.5\GoogleUpdateOnDemand.exe
c:\program files\Google\Update\1.3.25.5\GoogleUpdateSetup.exe
c:\program files\Google\Update\1.3.25.5\goopdate.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_am.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ar.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_bg.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_bn.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ca.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_cs.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_da.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_de.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_el.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_en-GB.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_en.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_es-419.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_es.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_et.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_fa.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_fi.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_fil.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_fr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_gu.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_hi.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_hr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_hu.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_id.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_is.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_it.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_iw.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ja.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_kn.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ko.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_lt.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_lv.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ml.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_mr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ms.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_nl.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_no.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_pl.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_pt-BR.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_pt-PT.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ro.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ru.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sk.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sl.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sv.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_sw.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ta.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_te.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_th.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_tr.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_uk.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_ur.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_vi.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_zh-CN.dll
c:\program files\Google\Update\1.3.25.5\goopdateres_zh-TW.dll
c:\program files\Google\Update\1.3.25.5\npGoogleUpdate3.dll
c:\program files\Google\Update\1.3.25.5\psmachine.dll
c:\program files\Google\Update\1.3.25.5\psmachine_64.dll
c:\program files\Google\Update\1.3.25.5\psuser.dll
c:\program files\Google\Update\1.3.25.5\psuser_64.dll
c:\program files\Google\Update\Download\{430FD4D0-B729-4F61-AA34-91526481799D}\1.3.25.5\GoogleUpdateSetup.exe
c:\program files\Google\Update\Download\{4DC8B4CA-1BDA-483E-B5FA-D3C12E15B62D}\38.0.2125.111\38.0.2125.111_38.0.2125.104_chrome_updater.exe
c:\program files\Google\Update\GoogleUpdate.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_gupdate
-------\Service_gupdatem
-------\Service_gupdate
-------\Service_gupdatem
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2014-10-06 do 2014-11-06 )))))))))))))))))))))))))))))))
.
.
2014-11-06 18:51 . 2014-11-06 18:54 -------- d-----w- c:\users\Gabriel\AppData\Local\temp
2014-11-06 18:51 . 2014-11-06 18:51 -------- d-----w- c:\users\Minecraft\AppData\Local\temp
2014-11-06 18:51 . 2014-11-06 18:51 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-11-04 20:10 . 2014-11-04 19:47 24064 ----a-w- c:\windows\zoek-delete.exe
2014-11-04 19:47 . 2014-11-04 20:07 -------- d-----w- C:\zoek_backup
2014-11-04 16:23 . 2014-11-04 20:13 34808 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2014-11-04 16:23 . 2014-11-04 16:23 -------- d-----w- c:\programdata\RogueKiller
2014-11-04 16:19 . 2014-11-04 16:19 -------- d-----w- c:\windows\ERUNT
2014-11-04 10:44 . 2010-08-30 07:34 536576 ----a-w- c:\windows\system32\sqlite3.dll
2014-11-04 10:43 . 2014-11-04 16:08 -------- d-----w- C:\AdwCleaner
2014-11-03 18:37 . 2014-11-06 18:29 114904 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-11-03 18:36 . 2014-11-03 18:36 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2014-11-03 18:36 . 2014-10-01 10:11 51928 ----a-w- c:\windows\system32\drivers\mwac.sys
2014-11-03 18:36 . 2014-10-01 10:11 75480 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2014-11-03 18:36 . 2014-10-01 10:11 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-08-01 21:36 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2010-03-17 495708]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-08-01 4085896]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2013-04-29 642304]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /p \??\F:\0autocheck autochk *
.
[HKLM\~\startupfolder\C:^Users^Gabriel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk]
path=c:\users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk
backup=c:\windows\pss\Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-08-21 16:30 959176 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 02:44 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-02-22 03:57 406992 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-21 02:25 125952 ----a-w- c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FlashPlayerUpdate]
2014-02-21 20:14 841096 ----a-w- c:\windows\System32\Macromed\Flash\FlashUtil32_12_0_0_70_Plugin.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 23:47 31016 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2010-02-22 10:40 2363392 ----a-w- c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
2010-04-12 08:40 180224 ----a-w- c:\program files\PowerISO\PWRISOVM.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QLBController]
2010-03-01 09:26 256056 ----a-w- c:\program files\Hewlett-Packard\HP HotKey Support\QLBController.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-03-28 22:37 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2013-07-02 08:16 254336 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_07801e50\aestsrv.exe [2009-03-03 81920]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-02-22 10:38 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-10-28 22:21 1089352 ----a-w- c:\program files\Google\Chrome\Application\38.0.2125.111\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2014-11-06 c:\windows\Tasks\User_Feed_Synchronization-{E012C74F-D339-4187-B337-CBDD4745F6A5}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést do Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Připojit cíl vazby k existujícímu PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Připojit k existujícímu PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
TCP: DhcpNameServer = 213.46.172.36 213.46.172.37
FF - ProfilePath - c:\users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\dvgp4z1s.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?btnG=Google+Search&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?btnG=Google+Search&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-11-06 19:54
Windows 6.0.6002 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-277744730-1956108277-3371775194-1000\Software\SecuROM\License information*]
"datasecu"=hex:40,b4,27,8c,1e,92,f2,bd,85,7f,5c,f8,85,e7,1f,e5,3c,d7,c2,8a,79,
f6,91,f3,57,0e,62,47,73,3a,04,6e,20,5e,f8,e2,db,eb,18,1b,d6,d8,7e,6d,6f,c7,\
"rkeysecu"=hex:04,c4,06,ef,9c,08,5a,d4,82,d7,ab,e1,99,17,9c,3d
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\atiesrxx.exe
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_07801e50\STacSV.exe
c:\windows\system32\atieclxx.exe
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\conime.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\LSI SoftModem\agrsmsvc.exe
c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
c:\program files\Hewlett-Packard\HP HotKey Support\hpHotkeyMonitor.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Malwarebytes Anti-Malware\mbamscheduler.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wbem\unsecapp.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Celkový čas: 2014-11-06 19:58:09 - počítač byl restartován
ComboFix-quarantined-files.txt 2014-11-06 18:58
ComboFix2.txt 2014-11-04 20:55
.
Před spuštěním: Volných bajtů: 28 855 529 472
Po spuštění: Volných bajtů: 28 692 451 328
.
- - End Of File - - 1371341F35331CD9572E1A0297399ABA
5C616939100B85E558DA92B899A0FC36
Re: Podezření na bitcoin miner
aswMBR version 1.0.1.2201 Copyright(c) 2014 AVAST Software
Run date: 2014-11-06 20:01:41
-----------------------------
20:01:41.089 OS Version: Windows 6.0.6002 Service Pack 2
20:01:41.089 Number of processors: 2 586 0x603
20:01:41.089 ComputerName: GABRIEL UserName: Gabriel
20:01:48.141 Initialize success
20:01:48.173 VM: initialized successfully
20:01:48.173 VM: Amd CPU BiosDisabled
20:01:53.291 AVAST engine defs: 14110600
20:02:02.107 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
20:02:02.107 Disk 0 Vendor: ST9320325AS 0005HPM1 Size: 305245MB BusType: 3
20:02:02.154 Disk 0 MBR read successfully
20:02:02.154 Disk 0 MBR scan
20:02:02.169 Disk 0 Windows VISTA default MBR code
20:02:02.185 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152622 MB offset 2048
20:02:02.216 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152621 MB offset 312571904
20:02:02.216 Disk 0 scanning sectors +625139712
20:02:02.606 Disk 0 scanning C:\Windows\system32\drivers
20:02:18.943 Service scanning
20:02:41.584 Modules scanning
20:02:49.948 Disk 0 trace - called modules:
20:02:49.963 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x854221f8]<<
20:02:49.979 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x856981b8]
20:02:49.979 3 CLASSPNP.SYS[881a08b3] -> nt!IofCallDriver -> [0x85595170]
20:02:49.979 5 acpi.sys[806e76bc] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x85595b98]
20:02:49.995 \Driver\atapi[0x8551be40] -> IRP_MJ_CREATE -> 0x854221f8
20:02:51.321 AVAST engine scan C:\Windows
20:02:56.345 AVAST engine scan C:\Windows\system32
20:06:04.401 AVAST engine scan C:\Windows\system32\drivers
20:06:24.452 AVAST engine scan C:\Users\Gabriel
20:15:44.801 AVAST engine scan C:\ProgramData
20:17:59.612 Disk 0 statistics 2696624/0/0 @ 1,88 MB/s
20:17:59.628 Scan finished successfully
20:18:29.867 Disk 0 MBR has been saved successfully to "C:\Users\Gabriel\Desktop\MBR.dat"
20:18:29.867 The log file has been saved successfully to "C:\Users\Gabriel\Desktop\aswMBR.txt"
Run date: 2014-11-06 20:01:41
-----------------------------
20:01:41.089 OS Version: Windows 6.0.6002 Service Pack 2
20:01:41.089 Number of processors: 2 586 0x603
20:01:41.089 ComputerName: GABRIEL UserName: Gabriel
20:01:48.141 Initialize success
20:01:48.173 VM: initialized successfully
20:01:48.173 VM: Amd CPU BiosDisabled
20:01:53.291 AVAST engine defs: 14110600
20:02:02.107 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
20:02:02.107 Disk 0 Vendor: ST9320325AS 0005HPM1 Size: 305245MB BusType: 3
20:02:02.154 Disk 0 MBR read successfully
20:02:02.154 Disk 0 MBR scan
20:02:02.169 Disk 0 Windows VISTA default MBR code
20:02:02.185 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152622 MB offset 2048
20:02:02.216 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152621 MB offset 312571904
20:02:02.216 Disk 0 scanning sectors +625139712
20:02:02.606 Disk 0 scanning C:\Windows\system32\drivers
20:02:18.943 Service scanning
20:02:41.584 Modules scanning
20:02:49.948 Disk 0 trace - called modules:
20:02:49.963 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x854221f8]<<
20:02:49.979 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x856981b8]
20:02:49.979 3 CLASSPNP.SYS[881a08b3] -> nt!IofCallDriver -> [0x85595170]
20:02:49.979 5 acpi.sys[806e76bc] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x85595b98]
20:02:49.995 \Driver\atapi[0x8551be40] -> IRP_MJ_CREATE -> 0x854221f8
20:02:51.321 AVAST engine scan C:\Windows
20:02:56.345 AVAST engine scan C:\Windows\system32
20:06:04.401 AVAST engine scan C:\Windows\system32\drivers
20:06:24.452 AVAST engine scan C:\Users\Gabriel
20:15:44.801 AVAST engine scan C:\ProgramData
20:17:59.612 Disk 0 statistics 2696624/0/0 @ 1,88 MB/s
20:17:59.628 Scan finished successfully
20:18:29.867 Disk 0 MBR has been saved successfully to "C:\Users\Gabriel\Desktop\MBR.dat"
20:18:29.867 The log file has been saved successfully to "C:\Users\Gabriel\Desktop\aswMBR.txt"
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43297
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Podezření na bitcoin miner
ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall
Vyčisti systém CCleanerem
Stáhni si OTC
na plochu. Poklepej na něj. Potom klikni na Clean up!.
Restartuj PC , pokud Ti bude doporučeno.
Vlož nový log z HJT + info o problémech.
Start-Spustit a zadej ComboFix /Uninstall
Vyčisti systém CCleanerem
Stáhni si OTC
na plochu. Poklepej na něj. Potom klikni na Clean up!.
Restartuj PC , pokud Ti bude doporučeno.
Vlož nový log z HJT + info o problémech.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Podezření na bitcoin miner
Problémy již nejsou, Adobe Arkalis byl odstraněn a zatížení CPU a GPU se vrátilo do normálu 
Zde je log z HJT:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:41:08, on 7.11.2014
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
FIREFOX: 33.0.3 (x86 cs)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_12_0_0_70.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_12_0_0_70.exe
C:\Users\Gabriel\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Převést cíl vazby do Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Převést do Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Připojit cíl vazby k existujícímu PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Připojit k existujícímu PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: WikiKomentáře Google... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_07801e50\aestsrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: HP Hotkey Monitor (hpHotkeyMonitor) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP HotKey Support\hpHotkeyMonitor.exe
O23 - Service: hpqwmiex - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_07801e50\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
--
End of file - 6451 bytes
Zde je log z HJT:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:41:08, on 7.11.2014
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
FIREFOX: 33.0.3 (x86 cs)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_12_0_0_70.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_12_0_0_70.exe
C:\Users\Gabriel\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Převést cíl vazby do Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Převést do Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Připojit cíl vazby k existujícímu PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Připojit k existujícímu PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: WikiKomentáře Google... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_07801e50\aestsrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: HP Hotkey Monitor (hpHotkeyMonitor) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP HotKey Support\hpHotkeyMonitor.exe
O23 - Service: hpqwmiex - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_07801e50\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
--
End of file - 6451 bytes
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43297
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Podezření na bitcoin miner
Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti