Prosim o kontrolu logu - Antivirus XP 2008 Vyřešeno

[vezer]

Dobry den,
do pocitace se mi natahl software, co se tvari jako antivirus, ale je to pekna mrska. Muzete mi, prosim, zkontrolovat log z Hijack This? Mockrat dekuji.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:47, on 21.8.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\000002.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\alt.exe.exe
C:\WINDOWS\system32\lphcpobj0et07.exe
C:\Program Files\rhctobj0et07\rhctobj0et07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\neos.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\pphcpobj0et07.exe
C:\WINDOWS\system32\wuauclt.exe
C:\google.com\svchost.exe
C:\google.com\svchost.exe
C:\google.com\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\google.com\svchost.exe
C:\google.com\svchost.exe
C:\google.com\svchost.exe
C:\google.com\svchost.exe
C:\google.com\svchost.exe
C:\google.com\svchost.exe
C:\google.com\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 66.98.238.8:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BhoApp Class - {A4EA549F-06B5-76C3-171C-16FE78FE28EA} - C:\Program Files\altcmd\altcmd32.dll
O2 - BHO: (no name) - {B1D3576A-CA42-4D09-83C1-15D563C19D71} - C:\AntivirAsistant\1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\system32\alt.exe.exe
O4 - HKLM\..\Run: [lphcpobj0et07] C:\WINDOWS\system32\lphcpobj0et07.exe
O4 - HKLM\..\Run: [SMrhctobj0et07] C:\Program Files\rhctobj0et07\rhctobj0et07.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [neos] C:\WINDOWS\neos.exe
O4 - HKCU\..\Run: [CDriver] c:\google.com\svchost.exe
O4 - HKCU\..\Run: [DDriver] c:\google.com\svchost.exe
O4 - HKCU\..\Run: [alpha] c:\google.com\svchost.exe
O4 - HKCU\..\Run: [beta] c:\google.com\svchost.exe
O4 - HKCU\..\Run: [gamma] c:\google.com\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [CDriver] c:\google.com\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [DDriver] c:\google.com\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\google.com\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\google.com\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\google.com\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DriverCheck] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriverLoad] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [FDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ADriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [CDriver] c:\google.com\svchost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DDriver] c:\google.com\svchost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [alpha] c:\google.com\svchost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [beta] c:\google.com\svchost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [gamma] c:\google.com\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\000002.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6112 bytes

[Reklama]

[fredik]

Vítej na fóru

Chybí ti tam základní zabezpečení, takže by to chtělo prozatím minimálně doinstalovat antivir.

Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[vezer]

OK, tady je log z ComboFix:

ComboFix 08-08-21.02 - Windows XP 2008-08-22 16:01:09.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1029.18.194 [GMT 2:00]
Running from: C:\Documents and Settings\Windows XP\Dokumenty\Vezer files\programy\ComboFix\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Windows XP\Data aplikací\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk
C:\Documents and Settings\Windows XP\Data aplikací\rhctobj0et07
C:\Documents and Settings\Windows XP\Data aplikací\temp.dll
C:\Program Files\altcmd
C:\Program Files\altcmd\altcmd.inf
C:\Program Files\altcmd\altcmd32.dll
C:\Program Files\altcmd\uninstall.bat
C:\Program Files\rhctobj0et07
C:\WINDOWS\crock+mock.config
C:\WINDOWS\neos.exe
C:\WINDOWS\system32\alt.exe.exe
C:\WINDOWS\system32\back.exe.exe
C:\WINDOWS\system32\blphcpobj0et07.scr
C:\WINDOWS\system32\lphcpobj0et07.exe
C:\WINDOWS\system32\phcpobj0et07.bmp
C:\WINDOWS\system32\pphcpobj0et07.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\winsub.xml

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSDIRECT
-------\Service_msdirect


((((((((((((((((((((((((( Files Created from 2008-07-22 to 2008-08-22 )))))))))))))))))))))))))))))))
.

2008-08-21 23:05 . 2008-08-21 23:05 <DIR> d-------- C:\Program Files\Trend Micro
2008-08-16 22:40 . 2008-08-16 23:13 <DIR> d-------- C:\AntivirAsistant
2008-08-16 22:40 . 2008-08-22 16:05 2,816 --a------ C:\WINDOWS\system32\msdirect.sys
2008-08-16 22:39 . 2008-08-16 22:39 <DIR> d-------- C:\google.com
2008-07-30 14:47 . 2008-07-30 15:08 <DIR> d-------- C:\Program Files\Mafia
2008-07-30 14:46 . 2002-08-08 01:11 319,488 -ra------ C:\WINDOWS\system32\MafiaSetup.exe
2008-07-29 13:57 . 2008-07-29 13:57 64 --a------ C:\WINDOWS\wininit.ini
2008-07-29 13:44 . 2008-07-29 13:44 <DIR> d-------- C:\Documents and Settings\Windows XP\WINDOWS
2008-07-29 13:44 . 2008-07-29 13:44 334 --a------ C:\WINDOWS\SIERRA.INI
2008-07-29 13:06 . 2008-07-29 13:06 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-07-28 14:48 . 2008-07-28 14:48 <DIR> d-------- C:\Program Files\Creative
2008-07-28 14:48 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-07-28 14:48 . 2002-06-06 14:38 139,264 --a------ C:\WINDOWS\system32\eax.dll
2008-07-27 16:18 . 2001-08-17 21:47 12,928 --a------ C:\WINDOWS\system32\drivers\Dot4Prt.sys
2008-07-27 16:18 . 2001-08-17 21:47 12,928 --a--c--- C:\WINDOWS\system32\dllcache\dot4prt.sys
2008-07-27 16:16 . 2004-08-03 22:58 207,360 --a------ C:\WINDOWS\system32\drivers\Dot4.sys
2008-07-27 16:16 . 2004-08-03 22:58 207,360 --a--c--- C:\WINDOWS\system32\dllcache\dot4.sys
2008-07-27 16:16 . 2001-10-24 11:43 23,808 --a------ C:\WINDOWS\system32\drivers\Dot4usb.sys
2008-07-27 16:16 . 2001-10-24 11:43 23,808 --a--c--- C:\WINDOWS\system32\dllcache\dot4usb.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-29 11:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2006-10-03 17:07 982,195 ----a-w C:\Program Files\extractnow.exe
2006-10-03 15:08 1,953,480 ----a-w C:\Program Files\PPVIEWER.EXE
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B1D3576A-CA42-4D09-83C1-15D563C19D71}]
2008-08-16 22:40 194560 --a------ C:\AntivirAsistant\1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 14:00 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"CDriver"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"DDriver"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"alpha"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"beta"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"gamma"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-10-08 02:31 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-10-08 02:27 126976]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42 32768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 14:20 227328]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 14:00 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 16:58 1744896]
"CDriver"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"DDriver"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"alpha"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"beta"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"gamma"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"CDriver"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"DDriver"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"alpha"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"beta"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]
"gamma"="c:\google.com\svchost.exe" [2008-08-16 22:39 200704]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Documents and Settings\\Windows XP\\Dokumenty\\Vezer files\\programy\\DC\\StrongDC.exe"=

R2 dnlsvc;MS Software Shadow Download Provider;C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\000002.exe [2008-08-16 22:39]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 14:00]
S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys [2004-08-12 09:30]

*Newly Created Service* - MSDIRECT
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-DriverLoad - (no file)
HKCU-Run-DriverCheck - (no file)
HKCU-Run-SystemDriverLoad - (no file)
HKCU-Run-SystemDriver - (no file)
HKCU-Run-FDriver - (no file)
HKCU-Run-ADriver - (no file)
HKLM-Run-lphcpobj0et07 - C:\WINDOWS\system32\lphcpobj0et07.exe
HKLM-Run-SMrhctobj0et07 - C:\Program Files\rhctobj0et07\rhctobj0et07.exe
HKU-Default-Run-DriverLoad - (no file)
HKU-Default-Run-DriverCheck - (no file)
HKU-Default-Run-SystemDriverLoad - (no file)
HKU-Default-Run-SystemDriver - (no file)
HKU-Default-Run-FDriver - (no file)
HKU-Default-Run-ADriver - (no file)
HKLM-Explorer_Run-DriverLoad - (no file)
HKLM-Explorer_Run-DriverCheck - (no file)
HKLM-Explorer_Run-SystemDriverLoad - (no file)
HKLM-Explorer_Run-Winhost - (no file)
HKLM-Explorer_Run-Winhost1 - (no file)
HKLM-Explorer_Run-Winhost2 - (no file)
HKLM-Explorer_Run-Winhost3 - (no file)
HKLM-Explorer_Run-Winhost4 - (no file)
HKLM-Explorer_Run-SystemDriver - (no file)
HKLM-Explorer_Run-FDriver - (no file)
HKLM-Explorer_Run-ADriver - (no file)


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.seznam.cz/
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-Internet Settings,ProxyServer = 66.98.238.8:3128
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 16:05:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\000002.exe [1324] 0x85325720

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
.
**************************************************************************
.
Completion time: 2008-08-22 16:07:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-22 14:07:10

Pre-Run: 1,939,316,736
Post-Run: 2,495,078,400

165 --- E O F --- 2008-08-15 09:43:59

[vezer]

Ted jsem jeste jednou cetl Vasi radu: ComboFix jsem nespustil z plochy, ale z dokumentu. Vadi to?

[fredik]

To nevadí ale teď si ho zkopíruj/přesuň na plochu.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::

Driver::
MSDIRECT
dnlsvc

File::
C:\WINDOWS\system32\msdirect.sys
C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\000002.exe

Folder::
C:\AntivirAsistant
C:\google.com

DirLook::
C:\Documents and Settings\Windows XP\WINDOWS

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B1D3576A-CA42-4D09-83C1-15D563C19D71}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CDriver"=-
"DDriver"=-
"alpha"=-
"beta"=-
"gamma"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CDriver"=-
"DDriver"=-
"alpha"=-
"beta"=-
"gamma"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"CDriver"=-
"DDriver"=-
"alpha"=-
"beta"=-
"gamma"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený přejmenovaný program ComboFix.exe a když se oba soubory překryjí, skript upusť

- Automaticky se spustí ComboFix (Pc se ti pak restartuje tak se nelekni)
- Vlož sem log, který vyběhne v závěru čistícího procesu

Pošli pak ještě log z AVPTool

[vezer]

OK, tady je log z ComboFix:

ComboFix 08-08-21.02 - Windows XP 2008-08-23 11:17:40.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1029.18.250 [GMT 2:00]
Running from: C:\Documents and Settings\Windows XP\Plocha\ComboFix.exe
Command switches used :: C:\Documents and Settings\Windows XP\Plocha\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\000002.exe
C:\WINDOWS\system32\msdirect.sys
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\AntivirAsistant
C:\AntivirAsistant\1.dll
C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\000002.exe
C:\google.com
C:\google.com\svchost.exe
C:\WINDOWS\system32\msdirect.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DNLSVC
-------\Legacy_MSDIRECT
-------\Service_dnlsvc


((((((((((((((((((((((((( Files Created from 2008-07-23 to 2008-08-23 )))))))))))))))))))))))))))))))
.

2008-08-21 23:05 . 2008-08-21 23:05 <DIR> d-------- C:\Program Files\Trend Micro
2008-07-30 14:47 . 2008-07-30 15:08 <DIR> d-------- C:\Program Files\Mafia
2008-07-30 14:46 . 2002-08-08 01:11 319,488 -ra------ C:\WINDOWS\system32\MafiaSetup.exe
2008-07-29 13:57 . 2008-07-29 13:57 64 --a------ C:\WINDOWS\wininit.ini
2008-07-29 13:44 . 2008-07-29 13:44 <DIR> d-------- C:\Documents and Settings\Windows XP\WINDOWS
2008-07-29 13:44 . 2008-07-29 13:44 334 --a------ C:\WINDOWS\SIERRA.INI
2008-07-29 13:06 . 2008-07-29 13:06 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-07-28 14:48 . 2008-07-28 14:48 <DIR> d-------- C:\Program Files\Creative
2008-07-28 14:48 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-07-28 14:48 . 2002-06-06 14:38 139,264 --a------ C:\WINDOWS\system32\eax.dll
2008-07-27 16:18 . 2001-08-17 21:47 12,928 --a------ C:\WINDOWS\system32\drivers\Dot4Prt.sys
2008-07-27 16:18 . 2001-08-17 21:47 12,928 --a--c--- C:\WINDOWS\system32\dllcache\dot4prt.sys
2008-07-27 16:16 . 2004-08-03 22:58 207,360 --a------ C:\WINDOWS\system32\drivers\Dot4.sys
2008-07-27 16:16 . 2004-08-03 22:58 207,360 --a--c--- C:\WINDOWS\system32\dllcache\dot4.sys
2008-07-27 16:16 . 2001-10-24 11:43 23,808 --a------ C:\WINDOWS\system32\drivers\Dot4usb.sys
2008-07-27 16:16 . 2001-10-24 11:43 23,808 --a--c--- C:\WINDOWS\system32\dllcache\dot4usb.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-29 11:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2006-10-03 17:07 982,195 ----a-w C:\Program Files\extractnow.exe
2006-10-03 15:08 1,953,480 ----a-w C:\Program Files\PPVIEWER.EXE
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Documents and Settings\Windows XP\WINDOWS ----



((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 14:00 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"DriverLoad"="" [BU]
"DriverCheck"="" [BU]
"SystemDriverLoad"="" [BU]
"SystemDriver"="" [BU]
"FDriver"="" [BU]
"ADriver"="" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-10-08 02:31 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-10-08 02:27 126976]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42 32768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 14:20 227328]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 14:00 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 16:58 1744896]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Documents and Settings\\Windows XP\\Dokumenty\\Vezer files\\programy\\DC\\StrongDC.exe"=

R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 14:00]
S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys [2004-08-12 09:30]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-23 11:20:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
.
**************************************************************************
.
Completion time: 2008-08-23 11:22:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-23 09:22:10
ComboFix2.txt 2008-08-22 14:07:15

Pre-Run: 2,478,428,160
Post-Run: 2,476,273,664

110 --- E O F --- 2008-08-15 09:43:59

[vezer]

A tady z AVP:

Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan-Clicker.Win32.BHO.bc File: C:\QooBox\Quarantine\C\AntivirAsistant\1.dll.vir
deleted: Trojan program Trojan-Proxy.Win32.Agent.jl File: C:\QooBox\Quarantine\C\Documents and Settings\Windows XP\LOCALS~1\Temp\000002.exe.vir//UPX
deleted: Trojan program Trojan-Clicker.Win32.Delf.apc File: C:\QooBox\Quarantine\C\google.com\svchost.exe.vir
deleted: virus Email-Worm.Win32.Zhelatin.agg File: C:\QooBox\Quarantine\C\WINDOWS\neos.exe.vir
deleted: Trojan program Trojan.Win32.Agent.yqq File: C:\QooBox\Quarantine\C\WINDOWS\system32\alt.exe.exe.vir
deleted: virus Email-Worm.Win32.Zhelatin.agg File: C:\QooBox\Quarantine\C\WINDOWS\system32\back.exe.exe.vir
deleted: Trojan program Trojan-Downloader.Win32.Small.abgo File: C:\QooBox\Quarantine\C\WINDOWS\system32\lphcpobj0et07.exe.vir
deleted: Trojan program Backdoor.Win32.ForBot.af File: C:\QooBox\Quarantine\C\WINDOWS\system32\msdirect.sys.vir
deleted: riskware not-a-virus:FraudTool.Win32.MalwareProtector.r File: C:\QooBox\Quarantine\C\WINDOWS\system32\pphcpobj0et07.exe.vir

[fredik]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DriverLoad"=-
"DriverCheck"=-
"SystemDriverLoad"=-
"SystemDriver"=-
"FDriver"=-
"ADriver"=-

Pak dej Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fix.reg
Uložit jako typ: tak tam vyber Všechny soubory
Ulož si daný soubor na plochu
Na ploše by se měl objevit soubor fix.reg
- spusť ho vyskočí hláška kde odklikni Ano poté je další hláška kde odklikni OK

Dej sem pak nový log z HJT.

[vezer]

Tady je:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:29, on 24.8.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 66.98.238.8:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [is-OERC6] "C:\Documents and Settings\All Users\Plocha\Kaspersky Lab Tool\is-OERC6\is-OERC6.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: is-OERC6 - Kaspersky Lab - C:\Documents and Settings\All Users\Plocha\Kaspersky Lab Tool\is-OERC6\is-OERC6.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4142 bytes

[fredik]

Odinstaluj AVPTool

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře ComboFix /u a dej Ok.
- mezi ComboFix a /u musí být mezera
- počkej až proběhne, bude tě o tom informovat.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Doinstaluj si tam Antivir

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Pro lepší zabezpečení bych ti doporučil doinstalovat firewall, můžeš si vybrat některý zde uvedený nebo některý jiný z odkazu: Přehled osobních firewallů
Firewally zdarma:
Kerio - přehledný, větší možnosti nastavení, náročnější na systémové prostředky, v češtině
ZoneAlarm - jednoduchý, kompatibilní, nenáročný na systémové prostředky, málo možností nastavení, v angličtině + návod
Comodo - kvalitní, pokročilý, s mnoha funkcemi, originálně v angličtině (nepoužít jeho malware scaner, nebo přes něj odstranit co najde)

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Doporučil bych ti aktualizovat Javu:
- Stáhni si poslední verzi Java Runtime Environment (JRE) 6 Update 7
- Posuň se dolů kde je napsáno Java Runtime Environment (JRE) 6 Update 7 a klikni na tlačítko Download
- Načte se ti nová stránka
- Pod nadpisem Select Platform and Language for your download:
* u položky Platform: vyber OS který používáš
* zatrhni možnost kde je napsáno: I agree to the Java SE Runtime Environment 6 License Agreement
* klikni na tlačítko Continue >>
- Načte se ti nová stránka
- Klikni na odkaz pro stažení pod položkou: Windows Offline Installation

a ulož si ho na disk

- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:

J2SE Runtime Environment 5.0
J2SE Runtime Environment 5.0 Update 8
Java 2 Runtime Environment, SE v1.4.2

- Odinstaluj je přes tlačítko Změnit nebo odebrat nebo Odebrat
- Odinstaluj postupně po sobě případné všechny staré verze Javy
- Po skončení odinstalovaní restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u7-windows-i586-p.exe, který sis stáhl na začátku

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Máš ještě nějaké problémy?

[vezer]

OK, nainstaloval jsem si AVG, ZoneAlarm a aktualni Javu. Vsechno beha tak jak ma, parada.

Dekuji Vam za Vas cas, moc jste mi pomohl.