Kontrola logu aneb už nevím kudy kam... Vyřešeno

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Odpovědět
Ronnie
nováček
Příspěvky: 48
Registrován: březen 09
Pohlaví: Muž
Stav:
Offline

Kontrola logu aneb už nevím kudy kam...

Příspěvekod Ronnie » 27 bře 2009 12:36

Chtěl bych Vás poprosit o kontrolu logu, zda-li tam není něco, co by být nemělo... Přestal mi ve všech prohlížečích fungovat zvuk ve streamových videích (XYkrát jsem přeinstaloval flash player, kodeky atd., zkoušel řadu postupů lidí s podobným problémem z netu a výsledek žádný), navíc mi v IE nejde spustit záložka Možnosti internetu (prý k tomu nemám práva:), AVG najde občas v posledních dnech nachází nějakou havěť (odstraní ji, ale za chvilku je jinde znova). Mohl bych poprosit o jakoukoliv (rozumnou:) radu? Doopravdy nevím, kudy kam...

Přidávám log z HiJackThis 1.99.1:

==================================
Logfile of HijackThis v1.99.1
Scan saved at 12:29:10, on 27.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Martin\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe
C:\Program Files\Total Commander\TOTALCMD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Vytvořit mobilní oblíbenou položku… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Program Files\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
==================================
Nahoru
Reklama
Top
Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43294
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod jaro3 » 27 bře 2009 23:25

Příště novější verzi HJT (2.02.):
http://www.trendsecure.com/portal/en-US ... s/download

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:

Kód: Vybrat vše

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O11 - Options group: [INTERNATIONAL] International*


Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Ronnie
nováček
Příspěvky: 48
Registrován: březen 09
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod Ronnie » 28 bře 2009 22:52

Velmi děkuji za pomoc.

Vše jsem udělal dle návodu, log přikládám níže:

Malwarebytes' Anti-Malware 1.35
Verze databáze: 1904
Windows 5.1.2600 Service Pack 3

28.3.2009 22:42:26
mbam-log-2009-03-28 (22-42-22).txt

Typ skenu: Rychlý sken
Objektu skenováno: 68557
Uplynulý cas: 2 minute(s), 8 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 1
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 4

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{56bb6d01-7bd5-4458-a4ae-f03df643d6ee} (Trojan.BHO) -> No action taken.

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lt.res (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\sft.res (Malware.Trace) -> No action taken.
C:\Program Files\Internet Explorer\setupapi.dll (Trojan.BHO) -> No action taken.

/log v citaci tu ještě nebyl :smile: Odstraněno. memphisto
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43294
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod jaro3 » 29 bře 2009 09:22

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.

Vypni rez. ochranu u AVG+deaktivuj Spybot.
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Ronnie
nováček
Příspěvky: 48
Registrován: březen 09
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod Ronnie » 30 bře 2009 12:48

Slibuji, že log do citace už nedám:).

Každopádně děkuji za další rady, vše jsem provedl a přikládám níže log z MbAM a z ComboFix.

MBAM:

Malwarebytes' Anti-Malware 1.35
Verze databáze: 1911
Windows 5.1.2600 Service Pack 3

30.3.2009 12:19:33
mbam-log-2009-03-30 (12-19-33).txt

Typ skenu: Rychlý sken
Objektu skenováno: 68877
Uplynulý cas: 2 minute(s), 7 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 1
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 4

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{56bb6d01-7bd5-4458-a4ae-f03df643d6ee} (Trojan.BHO) -> Quarantined and deleted successfully.

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lt.res (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sft.res (Malware.Trace) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\setupapi.dll (Trojan.BHO) -> Quarantined and deleted successfully.

ComboFix:

ComboFix 09-03-29.02 - Martin 2009-03-30 12:36:21.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.3327.2880 [GMT 2:00]
Spuštěný z: c:\documents and settings\Martin\Plocha\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)
* Vytvořen nový Bod Obnovení
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LocalService\Data aplikací\1152269438.exe
c:\documents and settings\Martin\Data aplikací\wiaserva.log
c:\program files\INSTALL.LOG
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-02-28 do 2009-03-30 )))))))))))))))))))))))))))))))
.

2009-03-28 23:39 . 2009-03-28 23:39 <DIR> d-------- c:\program files\Anti-Malware
2009-03-28 23:39 . 2009-03-28 23:39 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\Malwarebytes
2009-03-28 23:39 . 2009-03-28 23:39 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-03-28 23:39 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-28 23:39 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-28 21:52 . 2009-03-30 09:30 <DIR> d-------- C:\KARTA
2009-03-27 13:51 . 2009-03-27 16:47 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\AdobeUM
2009-03-27 04:07 . 2009-03-27 04:07 <DIR> d-------- c:\documents and settings\Martin\DoctorWeb
2009-03-27 03:49 . 2008-03-13 15:52 266,240 --a------ c:\windows\system32\RTSndMgr.CPL
2009-03-27 03:48 . 2009-03-27 03:48 <DIR> d-------- c:\program files\Realtek
2009-03-27 03:48 . 2009-03-12 18:21 17,531,392 --a------ c:\windows\RTHDCPL.EXE
2009-03-27 03:48 . 2008-06-19 17:27 9,715,200 --a------ c:\windows\RTLCPL.EXE
2009-03-27 03:48 . 2009-03-12 18:25 5,051,904 --a------ c:\windows\system32\drivers\RtkHDAud.sys
2009-03-27 03:48 . 2008-06-19 17:42 2,808,832 --a------ c:\windows\ALCWZRD.EXE
2009-03-27 03:48 . 2009-03-10 15:32 2,168,320 --a------ c:\windows\MicCal.exe
2009-03-27 03:48 . 2009-01-21 16:54 1,206,816 --a------ c:\windows\RtlUpd.exe
2009-03-27 03:48 . 2008-08-25 17:17 528,384 --a------ c:\windows\RtlExUpd.dll
2009-03-27 03:48 . 2009-03-02 12:14 57,344 --a------ c:\windows\ALCMTR.EXE
2009-03-27 03:33 . 2006-12-08 16:20 10,528,768 --a------ c:\windows\system32\RTLCPL.exe
2009-03-27 03:33 . 2007-04-25 17:20 4,030,144 --a------ c:\windows\system32\drivers\alcxwdm.sys
2009-03-27 03:33 . 2008-06-19 17:24 278,528 --a------ c:\windows\system32\ALSNDMGR.CPL
2009-03-27 03:33 . 2002-02-05 14:54 141,016 --a------ c:\windows\system32\alsndmgr.wav
2009-03-27 03:33 . 2008-08-19 14:26 77,824 --a------ c:\windows\SOUNDMAN.EXE
2009-03-27 03:33 . 2006-08-01 16:02 49,152 --a------ c:\windows\system32\ChCfg.exe
2009-03-27 03:32 . 2009-03-27 03:33 <DIR> d-------- c:\program files\Realtek AC97
2009-03-27 03:32 . 2006-07-31 12:19 315,392 --a------ c:\windows\alcupd.exe
2009-03-27 03:32 . 2006-07-31 12:27 217,088 --a------ c:\windows\alcrmv.exe
2009-03-27 03:08 . 2009-03-27 03:08 <DIR> d-------- c:\program files\Java
2009-03-27 03:08 . 2009-03-27 03:08 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-27 02:57 . 2009-03-27 02:57 <DIR> d-------- c:\program files\QuickTime Alternative
2009-03-27 02:57 . 2009-03-27 02:57 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Apple Computer
2009-03-27 02:57 . 2009-01-05 17:18 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx
2009-03-27 02:57 . 2009-01-05 17:18 57,344 --a------ c:\windows\system32\QuickTime.qts
2009-03-27 01:41 . 2009-03-27 03:31 23,392 --a------ c:\windows\system32\nscompat.tlb
2009-03-27 01:41 . 2009-03-27 03:31 16,832 --a------ c:\windows\system32\amcompat.tlb
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d-------- c:\documents and settings\Administrator\Plocha
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d--h----- c:\documents and settings\Administrator\Okolní tiskárny
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d--h----- c:\documents and settings\Administrator\Okolní síť
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d-------- c:\documents and settings\Administrator\Oblíbené položky
2009-03-26 23:44 . 2009-01-03 01:29 <DIR> d--h----- c:\documents and settings\Administrator\Šablony
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> dr------- c:\documents and settings\Administrator\Nabídka Start
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d-------- c:\documents and settings\Administrator\Dokumenty
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> dr-h----- c:\documents and settings\Administrator\Data aplikací
2009-03-26 23:44 . 2009-03-26 23:44 <DIR> d-------- c:\documents and settings\Administrator
2009-03-26 21:36 . 2009-03-26 21:37 <DIR> d-------- c:\program files\Spybot
2009-03-26 21:36 . 2009-03-26 21:37 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2009-03-26 18:02 . 2009-03-26 18:02 28,672 --a------ c:\windows\system32\smstf.dll
2009-03-25 15:10 . 2009-03-25 15:10 <DIR> d-------- c:\program files\DVD Shrink
2009-03-25 15:10 . 2009-03-25 15:11 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\DVD Shrink
2009-03-17 04:00 . 2009-03-27 00:21 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Lavasoft
2009-03-17 03:53 . 2009-03-26 22:20 <DIR> d-------- c:\program files\Lavasoft
2009-03-17 03:53 . 2009-03-17 03:53 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\Lavasoft
2009-03-15 03:09 . 2009-03-15 03:09 768 --a------ c:\windows\system32\d3d8caps.dat
2009-03-14 21:30 . 2009-03-14 21:30 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Ahead
2009-03-12 04:07 . 2008-04-14 14:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-11 17:24 . 2009-03-11 17:24 <DIR> d-------- c:\windows\Sun
2009-03-10 12:33 . 2009-03-15 13:49 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\FLEXnet
2009-03-09 16:47 . 2009-03-16 09:23 26,624 --ahs---- C:\Thumbs.db
2009-03-02 14:45 . 2009-03-02 14:45 <DIR> d-------- c:\program files\MSECache
2009-02-28 06:00 . 2009-02-28 06:01 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\esmska
2009-02-28 06:00 . 2009-03-27 03:08 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-28 05:35 . 2009-03-26 22:56 <DIR> d--h----- c:\program files\InstallJammer Registry
2009-02-26 03:32 . 2009-02-26 03:32 16,696 --a------ c:\documents and settings\Martin\Data aplikací\GDIPFONTCACHEV1.DAT
2009-02-23 00:48 . 2009-02-23 00:48 280 --a------ c:\windows\emm386n.dl
2009-02-23 00:47 . 2009-02-23 00:47 <DIR> d-------- c:\program files\Zoner
2009-02-23 00:43 . 2009-02-23 00:43 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-15 13:38 . 2009-03-28 21:15 <DIR> d--h----- C:\$AVG8.VAULT$
2009-02-15 13:10 . 2009-02-15 13:10 71 --a------ c:\windows\smartvideoconverter.ini
2009-02-15 13:00 . 2009-02-15 13:00 16,264 --ahs---- c:\windows\system32\KGyGaAvL.sys
2009-02-15 12:43 . 2008-04-14 01:16 51,200 --a------ c:\windows\system32\drivers\msdv.sys
2009-02-15 12:43 . 2008-04-14 01:16 51,200 --a--c--- c:\windows\system32\dllcache\msdv.sys
2009-02-15 12:43 . 2008-04-14 01:16 48,128 --a------ c:\windows\system32\drivers\61883.sys
2009-02-15 12:43 . 2008-04-14 01:16 48,128 --a--c--- c:\windows\system32\dllcache\61883.sys
2009-02-15 12:43 . 2008-04-14 01:16 38,912 --a------ c:\windows\system32\drivers\avc.sys
2009-02-15 12:43 . 2008-04-14 01:16 38,912 --a--c--- c:\windows\system32\dllcache\avc.sys
2009-02-08 16:44 . 2009-02-08 16:44 <DIR> d-------- c:\program files\TextPad 4
2009-02-08 16:44 . 2009-02-08 16:44 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\TextPad
2009-02-06 18:05 . 2009-03-15 12:43 3,746 --a------ c:\windows\WTRAN32.INI
2009-02-03 11:49 . 2009-03-11 16:54 <DIR> d-------- c:\program files\ICQ6.5
2009-02-02 15:48 . 2009-02-03 12:19 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\PSpad
2009-02-02 09:36 . 2009-02-02 09:36 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\Canon
2009-02-01 21:49 . 2008-04-14 01:26 30,592 --a------ c:\windows\system32\drivers\rndismpx.sys
2009-02-01 21:49 . 2008-04-14 01:26 30,592 --a--c--- c:\windows\system32\dllcache\rndismpx.sys
2009-02-01 21:49 . 2008-04-14 01:26 12,800 --a------ c:\windows\system32\drivers\usb8023x.sys
2009-02-01 21:49 . 2008-04-14 01:26 12,800 --a--c--- c:\windows\system32\dllcache\usb8023x.sys
2009-02-01 21:43 . 2009-02-01 21:43 <DIR> d-------- c:\program files\Microsoft ActiveSync
2009-02-01 21:10 . 2009-02-01 21:10 <DIR> d--h----- c:\documents and settings\All Users\Data aplikací\CanonBJ
2009-02-01 21:10 . 2007-10-28 21:00 223,744 --a------ c:\windows\system32\CNMLM98.DLL
2009-02-01 21:09 . 2008-04-14 01:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-01 21:09 . 2008-04-14 01:17 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-02-01 21:09 . 2008-04-14 01:15 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-02-01 21:09 . 2008-04-14 01:15 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2009-02-01 18:12 . 2009-02-03 00:18 <DIR> d-------- c:\program files\ICQ
2009-02-01 18:08 . 2009-02-01 18:08 <DIR> d-------- c:\windows\aod
2009-02-01 18:08 . 2009-02-06 19:36 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\ICQ
2009-02-01 17:48 . 2009-03-30 11:05 4,029 --a------ c:\windows\wcx_ftp.ini
2009-02-01 17:29 . 2009-02-01 17:29 10,520 --a------ c:\windows\system32\avgrsstx.dll
2009-02-01 17:28 . 2007-04-17 02:48 951 --a------ c:\windows\Podpis pro Outlook - GIGA.htm
2009-02-01 17:28 . 2008-10-15 04:19 907 --a------ c:\windows\Podpis pro Outlook - RONNIE.htm
2009-02-01 17:28 . 2008-10-15 03:59 773 --a------ c:\windows\Podpis pro Outlook - RMS.htm
2009-02-01 17:28 . 2008-04-01 10:56 723 --a------ c:\windows\Podpis pro Outlook - SKFCR.htm
2009-02-01 17:21 . 2009-02-01 17:21 <DIR> d-------- c:\program files\VideoLAN
2009-02-01 17:21 . 2009-02-01 17:21 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\vlc
2009-02-01 17:14 . 2009-03-26 12:40 <DIR> d-------- c:\program files\Opera
2009-02-01 17:11 . 2009-02-01 17:11 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\ACD Systems
2009-02-01 17:06 . 2009-02-26 05:29 <DIR> d-------- c:\program files\AAlpha Pictures
2009-02-01 17:05 . 2009-02-01 17:05 <DIR> d-------- c:\program files\AAlpha Movies
2009-02-01 16:51 . 2009-02-01 16:51 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\CD-LabelPrint
2009-02-01 16:46 . 2009-02-01 16:46 <DIR> d-------- c:\program files\HTML Tabulka
2009-02-01 16:45 . 2009-02-01 16:46 <DIR> d-------- c:\program files\Translator
2009-02-01 16:43 . 2009-02-01 16:43 <DIR> d-------- c:\windows\ShellNew
2009-02-01 16:43 . 2009-02-02 15:48 <DIR> d-------- c:\program files\PSPad
2009-02-01 16:43 . 2009-02-01 16:43 390 --a------ c:\windows\ODBC.INI
2009-02-01 16:40 . 2009-02-01 16:40 <DIR> d-------- c:\program files\Jeyo
2009-02-01 16:40 . 2009-02-01 16:40 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\Jeyo
2009-02-01 16:39 . 2009-03-27 00:21 <DIR> d-------- c:\program files\DivX
2009-02-01 16:38 . 2009-02-01 21:08 <DIR> d-------- c:\program files\Winamp
2009-02-01 16:38 . 2009-02-01 16:38 <DIR> d-------- c:\program files\Virtual Dub 1.8.6
2009-02-01 16:38 . 2009-03-27 00:26 737,280 --a------ c:\windows\iun6002.exe
2009-02-01 16:38 . 2006-08-25 05:47 129,784 --------- c:\windows\system32\pxafs.dll
2009-02-01 16:38 . 2006-08-25 05:47 115,880 --------- c:\windows\system32\pxinsi64.exe
2009-02-01 16:38 . 2006-08-25 05:47 2,560 --------- c:\windows\system32\drivers\cdralw2k.sys
2009-02-01 16:38 . 2006-08-25 05:47 2,432 --------- c:\windows\system32\drivers\cdr4_xp.sys
2009-02-01 16:36 . 2009-03-16 08:57 <DIR> d-------- c:\program files\Radmin
2009-02-01 16:36 . 2009-02-01 17:32 <DIR> d-------- c:\program files\Putty

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-27 01:48 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-15 11:17 --------- d-----w c:\program files\Common Files\InstallShield
2009-02-09 14:07 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-02-01 15:29 325,128 ----a-w c:\windows\system32\drivers\avgldx86.sys
2009-02-01 15:27 --------- d-----w c:\documents and settings\All Users\Data aplikací\avg8
2009-01-03 00:44 376,832 ----a-w c:\windows\system32\AegisI5Installer.exe
2008-12-20 23:03 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-05 06:57 144,896 ----a-w c:\windows\system32\schannel.dll
2008-06-23 18:34 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-06-23 18:34 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-06-23 18:34 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-06-23 18:34 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-06-23 18:34 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-02-01 1601304]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-18 13574144]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-12 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Martin\Nabˇdka Start\Programy\Po spuçtŘnˇ\
hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2009-02-01 625952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-02-01 17:29 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VP40"= vp4vfw.dll
"vidc.X264"= x264vfw.dll
"VIDC.MSUD"= msulvc05.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Gamma Loader.exe.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Gamma Loader.exe.lnk
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-04-21 18:03 94208 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2009-02-01 17:12 133104 c:\documents and settings\Martin\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 17:50 1289000 c:\program files\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-09-18 00:55 13574144 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2009-03-05 17:07 2260480 c:\program files\Spybot\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-03-27 03:08 148888 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2009-03-02 12:14 57344 c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2009-03-12 18:21 17531392 c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Trkwnetaa"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Lavasoft Ad-Aware Service"=3 (0x3)
"AshEvtSvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\Jeyo\\JMC_WindowsMobile\\JMC_WM.exe"=
"c:\\Program Files\\ICQ\\Icq.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-01-03 325128]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-02-01 298264]
R3 HCW85BDA;Hauppauge WinTV 885 Video Capture;c:\windows\system32\drivers\HCW85BDA.sys [2009-01-03 964352]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2008-04-14 69120]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S4 AshEvtSvc;AshEvtSvc;c:\windows\System32\AshEvtSvc.exe -k netsvcs --> c:\windows\System32\AshEvtSvc.exe -k netsvcs [?]
S4 Trkwnetaa;Trkwnetaa; [x]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##server-old#server]
\Shell\AutoRun\command - x:\wd_windows_tools\setup.exe
.
Obsah adresáře 'Naplánované úlohy'

2009-03-26 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-03-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-484763869-1004336348-1801674531-1003.job
- c:\documents and settings\Martin\Local Settings\Data aplikac []
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

MSConfigStartUp-Ad-Watch - c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe
MSConfigStartUp-SkyTel - SkyTel.EXE


.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Martin\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - http://www.seznam.cz
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.
.
------- Asociace souborů -------
.
txtfile="c:\program files\PSPad\PSPad.exe" "%1"
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-30 12:36:56
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\program files\Apache Group\MySQL\bin\mysqld-nt\" --defaults-file=\"c:\program files\Apache Group\MySQL\my.ini\" MySQL"
.
Celkový čas: 2009-03-30 12:37:40
ComboFix-quarantined-files.txt 2009-03-30 10:37:38

Před spuštěním: Volných bajtů: 715 748 364 288
Po spuštění: Volných bajtů: 715,751,780,352

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

277 --- E O F --- 2009-03-14 02:01:16
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43294
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod jaro3 » 30 bře 2009 14:23

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

sc config AshEvtSvc start= disabled
sc stop AshEvtSvc
sc delete AshEvtSvc
sc config Trkwnetaa start= disabled
sc stop Trkwnetaa
sc delete Trkwnetaa

ulož si ho na plochu jako-název remove.bat a ulož ho jako typ všechny soubory , najdi na ploše tento soubor , spusť ho poklepáním.Otevře se Dosovské okno a zavře. Restartuj comp.
*****************************************************************************************************************************************
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\windows\system32\nscompat.tlb
c:\windows\system32\amcompat.tlb
c:\windows\system32\KGyGaAvL.sys
c:\windows\iun6002.exe
c:\windows\System32\AshEvtSvc.exe

DirLook::
c:\windows\aod

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Toto otestuj na Virustotal
c:\windows\system32\smstf.dll
Vlož sem pak odkaz výsledku.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Ronnie
nováček
Příspěvky: 48
Registrován: březen 09
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod Ronnie » 30 bře 2009 15:12

ComboFix:

ComboFix 09-03-29.02 - Martin 2009-03-30 14:39:57.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.3327.2788 [GMT 2:00]
Spuštěný z: c:\documents and settings\Martin\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Martin\Plocha\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)
* Vytvořen nový Bod Obnovení

FILE ::
c:\windows\iun6002.exe
c:\windows\system32\amcompat.tlb
c:\windows\System32\AshEvtSvc.exe
c:\windows\system32\KGyGaAvL.sys
c:\windows\system32\nscompat.tlb
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\iun6002.exe
c:\windows\system32\amcompat.tlb
c:\windows\system32\KGyGaAvL.sys
c:\windows\system32\nscompat.tlb

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-02-28 do 2009-03-30 )))))))))))))))))))))))))))))))
.

2009-03-30 13:00 . 2009-03-30 13:00 9,307 --a------ C:\smejkal.jpg
2009-03-28 23:39 . 2009-03-28 23:39 <DIR> d-------- c:\program files\Anti-Malware
2009-03-28 23:39 . 2009-03-28 23:39 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\Malwarebytes
2009-03-28 23:39 . 2009-03-28 23:39 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-03-28 23:39 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-28 23:39 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-28 21:52 . 2009-03-30 09:30 <DIR> d-------- C:\KARTA
2009-03-27 13:51 . 2009-03-30 12:49 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\AdobeUM
2009-03-27 04:07 . 2009-03-27 04:07 <DIR> d-------- c:\documents and settings\Martin\DoctorWeb
2009-03-27 03:49 . 2008-03-13 15:52 266,240 --a------ c:\windows\system32\RTSndMgr.CPL
2009-03-27 03:48 . 2009-03-27 03:48 <DIR> d-------- c:\program files\Realtek
2009-03-27 03:48 . 2009-03-12 18:21 17,531,392 --a------ c:\windows\RTHDCPL.EXE
2009-03-27 03:48 . 2008-06-19 17:27 9,715,200 --a------ c:\windows\RTLCPL.EXE
2009-03-27 03:48 . 2009-03-12 18:25 5,051,904 --a------ c:\windows\system32\drivers\RtkHDAud.sys
2009-03-27 03:48 . 2008-06-19 17:42 2,808,832 --a------ c:\windows\ALCWZRD.EXE
2009-03-27 03:48 . 2009-03-10 15:32 2,168,320 --a------ c:\windows\MicCal.exe
2009-03-27 03:48 . 2009-01-21 16:54 1,206,816 --a------ c:\windows\RtlUpd.exe
2009-03-27 03:48 . 2008-08-25 17:17 528,384 --a------ c:\windows\RtlExUpd.dll
2009-03-27 03:48 . 2009-03-02 12:14 57,344 --a------ c:\windows\ALCMTR.EXE
2009-03-27 03:33 . 2006-12-08 16:20 10,528,768 --a------ c:\windows\system32\RTLCPL.exe
2009-03-27 03:33 . 2007-04-25 17:20 4,030,144 --a------ c:\windows\system32\drivers\alcxwdm.sys
2009-03-27 03:33 . 2008-06-19 17:24 278,528 --a------ c:\windows\system32\ALSNDMGR.CPL
2009-03-27 03:33 . 2002-02-05 14:54 141,016 --a------ c:\windows\system32\alsndmgr.wav
2009-03-27 03:33 . 2008-08-19 14:26 77,824 --a------ c:\windows\SOUNDMAN.EXE
2009-03-27 03:33 . 2006-08-01 16:02 49,152 --a------ c:\windows\system32\ChCfg.exe
2009-03-27 03:32 . 2009-03-27 03:33 <DIR> d-------- c:\program files\Realtek AC97
2009-03-27 03:32 . 2006-07-31 12:19 315,392 --a------ c:\windows\alcupd.exe
2009-03-27 03:32 . 2006-07-31 12:27 217,088 --a------ c:\windows\alcrmv.exe
2009-03-27 03:08 . 2009-03-27 03:08 <DIR> d-------- c:\program files\Java
2009-03-27 03:08 . 2009-03-27 03:08 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-27 02:57 . 2009-03-27 02:57 <DIR> d-------- c:\program files\QuickTime Alternative
2009-03-27 02:57 . 2009-03-27 02:57 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Apple Computer
2009-03-27 02:57 . 2009-01-05 17:18 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx
2009-03-27 02:57 . 2009-01-05 17:18 57,344 --a------ c:\windows\system32\QuickTime.qts
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d-------- c:\documents and settings\Administrator\Plocha
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d--h----- c:\documents and settings\Administrator\Okolní tiskárny
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d--h----- c:\documents and settings\Administrator\Okolní síť
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d-------- c:\documents and settings\Administrator\Oblíbené položky
2009-03-26 23:44 . 2009-01-03 01:29 <DIR> d--h----- c:\documents and settings\Administrator\Šablony
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> dr------- c:\documents and settings\Administrator\Nabídka Start
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> d-------- c:\documents and settings\Administrator\Dokumenty
2009-03-26 23:44 . 2009-01-03 02:19 <DIR> dr-h----- c:\documents and settings\Administrator\Data aplikací
2009-03-26 23:44 . 2009-03-26 23:44 <DIR> d-------- c:\documents and settings\Administrator
2009-03-26 21:36 . 2009-03-26 21:37 <DIR> d-------- c:\program files\Spybot
2009-03-26 21:36 . 2009-03-26 21:37 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2009-03-26 18:02 . 2009-03-26 18:02 28,672 --a------ c:\windows\system32\smstf.dll
2009-03-25 15:10 . 2009-03-25 15:10 <DIR> d-------- c:\program files\DVD Shrink
2009-03-25 15:10 . 2009-03-25 15:11 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\DVD Shrink
2009-03-17 04:00 . 2009-03-27 00:21 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Lavasoft
2009-03-17 03:53 . 2009-03-26 22:20 <DIR> d-------- c:\program files\Lavasoft
2009-03-17 03:53 . 2009-03-17 03:53 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\Lavasoft
2009-03-15 03:09 . 2009-03-15 03:09 768 --a------ c:\windows\system32\d3d8caps.dat
2009-03-14 21:30 . 2009-03-14 21:30 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Ahead
2009-03-12 04:07 . 2008-04-14 14:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-11 17:24 . 2009-03-11 17:24 <DIR> d-------- c:\windows\Sun
2009-03-10 12:33 . 2009-03-15 13:49 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\FLEXnet
2009-03-09 16:47 . 2009-03-16 09:23 26,624 --ahs---- C:\Thumbs.db
2009-03-02 14:45 . 2009-03-02 14:45 <DIR> d-------- c:\program files\MSECache
2009-02-28 06:00 . 2009-02-28 06:01 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\esmska
2009-02-28 06:00 . 2009-03-27 03:08 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-28 05:35 . 2009-03-26 22:56 <DIR> d--h----- c:\program files\InstallJammer Registry
2009-02-26 03:32 . 2009-02-26 03:32 16,696 --a------ c:\documents and settings\Martin\Data aplikací\GDIPFONTCACHEV1.DAT
2009-02-23 00:48 . 2009-02-23 00:48 280 --a------ c:\windows\emm386n.dl
2009-02-23 00:47 . 2009-02-23 00:47 <DIR> d-------- c:\program files\Zoner
2009-02-23 00:43 . 2009-02-23 00:43 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-15 13:38 . 2009-03-28 21:15 <DIR> d--h----- C:\$AVG8.VAULT$
2009-02-15 13:10 . 2009-02-15 13:10 71 --a------ c:\windows\smartvideoconverter.ini
2009-02-15 12:43 . 2008-04-14 01:16 51,200 --a------ c:\windows\system32\drivers\msdv.sys
2009-02-15 12:43 . 2008-04-14 01:16 51,200 --a--c--- c:\windows\system32\dllcache\msdv.sys
2009-02-15 12:43 . 2008-04-14 01:16 48,128 --a------ c:\windows\system32\drivers\61883.sys
2009-02-15 12:43 . 2008-04-14 01:16 48,128 --a--c--- c:\windows\system32\dllcache\61883.sys
2009-02-15 12:43 . 2008-04-14 01:16 38,912 --a------ c:\windows\system32\drivers\avc.sys
2009-02-15 12:43 . 2008-04-14 01:16 38,912 --a--c--- c:\windows\system32\dllcache\avc.sys
2009-02-08 16:44 . 2009-02-08 16:44 <DIR> d-------- c:\program files\TextPad 4
2009-02-08 16:44 . 2009-02-08 16:44 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\TextPad
2009-02-06 18:05 . 2009-03-15 12:43 3,746 --a------ c:\windows\WTRAN32.INI
2009-02-03 11:49 . 2009-03-11 16:54 <DIR> d-------- c:\program files\ICQ6.5
2009-02-02 15:48 . 2009-02-03 12:19 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\PSpad
2009-02-02 09:36 . 2009-02-02 09:36 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\Canon
2009-02-01 21:49 . 2008-04-14 01:26 30,592 --a------ c:\windows\system32\drivers\rndismpx.sys
2009-02-01 21:49 . 2008-04-14 01:26 30,592 --a--c--- c:\windows\system32\dllcache\rndismpx.sys
2009-02-01 21:49 . 2008-04-14 01:26 12,800 --a------ c:\windows\system32\drivers\usb8023x.sys
2009-02-01 21:49 . 2008-04-14 01:26 12,800 --a--c--- c:\windows\system32\dllcache\usb8023x.sys
2009-02-01 21:43 . 2009-02-01 21:43 <DIR> d-------- c:\program files\Microsoft ActiveSync
2009-02-01 21:10 . 2009-02-01 21:10 <DIR> d--h----- c:\documents and settings\All Users\Data aplikací\CanonBJ
2009-02-01 21:10 . 2007-10-28 21:00 223,744 --a------ c:\windows\system32\CNMLM98.DLL
2009-02-01 21:09 . 2008-04-14 01:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-01 21:09 . 2008-04-14 01:17 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-02-01 21:09 . 2008-04-14 01:15 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-02-01 21:09 . 2008-04-14 01:15 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2009-02-01 18:12 . 2009-02-03 00:18 <DIR> d-------- c:\program files\ICQ
2009-02-01 18:08 . 2009-02-01 18:08 <DIR> d-------- c:\windows\aod
2009-02-01 18:08 . 2009-02-06 19:36 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\ICQ
2009-02-01 17:48 . 2009-03-30 11:05 4,029 --a------ c:\windows\wcx_ftp.ini
2009-02-01 17:29 . 2009-02-01 17:29 10,520 --a------ c:\windows\system32\avgrsstx.dll
2009-02-01 17:28 . 2007-04-17 02:48 951 --a------ c:\windows\Podpis pro Outlook - GIGA.htm
2009-02-01 17:28 . 2008-10-15 04:19 907 --a------ c:\windows\Podpis pro Outlook - RONNIE.htm
2009-02-01 17:28 . 2008-10-15 03:59 773 --a------ c:\windows\Podpis pro Outlook - RMS.htm
2009-02-01 17:28 . 2008-04-01 10:56 723 --a------ c:\windows\Podpis pro Outlook - SKFCR.htm
2009-02-01 17:21 . 2009-02-01 17:21 <DIR> d-------- c:\program files\VideoLAN
2009-02-01 17:21 . 2009-02-01 17:21 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\vlc
2009-02-01 17:14 . 2009-03-26 12:40 <DIR> d-------- c:\program files\Opera
2009-02-01 17:11 . 2009-02-01 17:11 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\ACD Systems
2009-02-01 17:06 . 2009-02-26 05:29 <DIR> d-------- c:\program files\AAlpha Pictures
2009-02-01 17:05 . 2009-02-01 17:05 <DIR> d-------- c:\program files\AAlpha Movies
2009-02-01 16:51 . 2009-02-01 16:51 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\CD-LabelPrint
2009-02-01 16:46 . 2009-02-01 16:46 <DIR> d-------- c:\program files\HTML Tabulka
2009-02-01 16:45 . 2009-02-01 16:46 <DIR> d-------- c:\program files\Translator
2009-02-01 16:43 . 2009-02-01 16:43 <DIR> d-------- c:\windows\ShellNew
2009-02-01 16:43 . 2009-02-02 15:48 <DIR> d-------- c:\program files\PSPad
2009-02-01 16:43 . 2009-02-01 16:43 390 --a------ c:\windows\ODBC.INI
2009-02-01 16:40 . 2009-02-01 16:40 <DIR> d-------- c:\program files\Jeyo
2009-02-01 16:40 . 2009-02-01 16:40 <DIR> d-------- c:\documents and settings\Martin\Data aplikací\Jeyo
2009-02-01 16:39 . 2009-03-27 00:21 <DIR> d-------- c:\program files\DivX
2009-02-01 16:38 . 2009-02-01 21:08 <DIR> d-------- c:\program files\Winamp
2009-02-01 16:38 . 2009-02-01 16:38 <DIR> d-------- c:\program files\Virtual Dub 1.8.6
2009-02-01 16:38 . 2006-08-25 05:47 129,784 --------- c:\windows\system32\pxafs.dll
2009-02-01 16:38 . 2006-08-25 05:47 115,880 --------- c:\windows\system32\pxinsi64.exe
2009-02-01 16:38 . 2006-08-25 05:47 2,560 --------- c:\windows\system32\drivers\cdralw2k.sys
2009-02-01 16:38 . 2006-08-25 05:47 2,432 --------- c:\windows\system32\drivers\cdr4_xp.sys
2009-02-01 16:36 . 2009-03-16 08:57 <DIR> d-------- c:\program files\Radmin
2009-02-01 16:36 . 2009-02-01 17:32 <DIR> d-------- c:\program files\Putty
2009-02-01 16:33 . 2009-02-01 16:33 <DIR> d-------- c:\program files\Common Files\Adobe Systems Shared
2009-02-01 16:33 . 2009-02-01 16:33 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Macrovision
2009-02-01 16:33 . 2006-08-25 05:47 36,528 --------- c:\windows\system32\drivers\pxhelp20.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-27 01:48 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-15 11:17 --------- d-----w c:\program files\Common Files\InstallShield
2009-02-09 14:07 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-02-01 15:29 325,128 ----a-w c:\windows\system32\drivers\avgldx86.sys
2009-02-01 15:27 --------- d-----w c:\documents and settings\All Users\Data aplikací\avg8
2009-01-03 00:44 376,832 ----a-w c:\windows\system32\AegisI5Installer.exe
2008-12-20 23:03 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-05 06:57 144,896 ----a-w c:\windows\system32\schannel.dll
2008-06-23 18:34 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-06-23 18:34 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-06-23 18:34 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-06-23 18:34 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-06-23 18:34 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\windows\aod ----

2002-10-31 14:15 69632 --a------ c:\windows\aod\aodshext.dll
2002-10-23 11:30 36864 --a------ c:\windows\aod\aodres_en_us.dll
2002-09-25 16:04 16 --a------ c:\windows\aod\locales.ini
2002-04-26 18:55 2494 --a------ c:\windows\aod\icon2.ico
2002-04-26 18:23 2494 --a------ c:\windows\aod\icon1.ico


(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-02-01 1601304]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-18 13574144]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-12 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Martin\Nabˇdka Start\Programy\Po spuçtŘnˇ\
hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2009-02-01 625952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-02-01 17:29 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VP40"= vp4vfw.dll
"vidc.X264"= x264vfw.dll
"VIDC.MSUD"= msulvc05.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Gamma Loader.exe.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Gamma Loader.exe.lnk
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-04-21 18:03 94208 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2009-02-01 17:12 133104 c:\documents and settings\Martin\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 17:50 1289000 c:\program files\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-09-18 00:55 13574144 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2009-03-05 17:07 2260480 c:\program files\Spybot\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-03-27 03:08 148888 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2009-03-02 12:14 57344 c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2009-03-12 18:21 17531392 c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Trkwnetaa"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Lavasoft Ad-Aware Service"=3 (0x3)
"AshEvtSvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\Jeyo\\JMC_WindowsMobile\\JMC_WM.exe"=
"c:\\Program Files\\ICQ\\Icq.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-01-03 325128]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-02-01 298264]
R3 HCW85BDA;Hauppauge WinTV 885 Video Capture;c:\windows\system32\drivers\HCW85BDA.sys [2009-01-03 964352]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2008-04-14 69120]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##server-old#server]
\Shell\AutoRun\command - x:\wd_windows_tools\setup.exe
.
Obsah adresáře 'Naplánované úlohy'

2009-03-26 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-03-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-484763869-1004336348-1801674531-1003.job
- c:\documents and settings\Martin\Local Settings\Data aplikac []
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Excel
DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}
FF - ProfilePath - c:\documents and settings\Martin\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - http://www.seznam.cz
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-30 14:40:30
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\program files\Apache Group\MySQL\bin\mysqld-nt\" --defaults-file=\"c:\program files\Apache Group\MySQL\my.ini\" MySQL"
.
Celkový čas: 2009-03-30 14:41:12
ComboFix-quarantined-files.txt 2009-03-30 12:41:10

Před spuštěním: Volných bajtů: 715 741 794 304
Po spuštění: Volných bajtů: 715,727,458,304

278 --- E O F --- 2009-03-14 02:01:16


HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04:48, on 30.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Jeyo\JMC_WindowsMobile\JMC_WM.exe
C:\Documents and Settings\Martin\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Spybot\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Vytvořit mobilní oblíbenou položku… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) -
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Program Files\Apache Group\Apache2\bin\Apache.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4800 bytes


VirusTotal:

a-squared 4.0.0.101 2009.03.30 Trojan.Win32.BHO.d!IK
AhnLab-V3 5.0.0.2 2009.03.30 -
AntiVir 7.9.0.129 2009.03.30 -
Antiy-AVL 2.0.3.1 2009.03.30 -
Authentium 5.1.2.4 2009.03.29 -
Avast 4.8.1335.0 2009.03.29 -
AVG 8.5.0.285 2009.03.30 -
BitDefender 7.2 2009.03.30 -
CAT-QuickHeal 10.00 2009.03.30 -
ClamAV 0.94.1 2009.03.29 -
Comodo 1089 2009.03.29 -
DrWeb 4.44.0.09170 2009.03.30 -
eSafe 7.0.17.0 2009.03.27 Suspicious File
eTrust-Vet 31.6.6424 2009.03.30 -
F-Prot 4.4.4.56 2009.03.29 -
Fortinet 3.117.0.0 2009.03.30 -
GData 19 2009.03.30 -
Ikarus T3.1.1.49.0 2009.03.30 Trojan.Win32.BHO.d
K7AntiVirus 7.10.684 2009.03.28 -
Kaspersky 7.0.0.125 2009.03.30 Trojan.Win32.Agent.bxvq
McAfee 5568 2009.03.29 -
McAfee+Artemis 5568 2009.03.29 Generic!Artemis
McAfee-GW-Edition 6.7.6 2009.03.30 -
Microsoft 1.4502 2009.03.30 -
NOD32 3974 2009.03.30 -
Norman 6.00.06 2009.03.27 -
nProtect 2009.1.8.0 2009.03.30 -
Panda 10.0.0.14 2009.03.30 -
Prevx1 V2 2009.03.30 -
Rising 21.23.03.00 2009.03.30 -
Sophos 4.40.0 2009.03.30 -
Sunbelt 3.2.1858.2 2009.03.29 -
Symantec 1.4.4.12 2009.03.30 -
TheHacker 6.3.3.9.296 2009.03.30 Trojan/Agent.bxvq
TrendMicro 8.700.0.1004 2009.03.30 TROJ_BHO.OC
ViRobot 2009.3.30.1668 2009.03.30 -
VirusBuster 4.6.5.0 2009.03.30 -
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43294
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod jaro3 » 30 bře 2009 15:32

Stáhni si program OTMoveIt3 (by OldTimer) a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services

:Reg

:Files
c:\windows\system32\smstf.dll

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:

Kód: Vybrat vše

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)


ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u


takže jestli nejsou problémy,tak vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš>spustíš

pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG, následně T-Cleaner smaž a zapni si AVG.
- použít i při následujícím ATF-Cleaneru:
Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.
Pokud chceš zachovat svoje uložená hesla, klikni na No.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.
Pokud nejsou problémy , je to vše..
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Ronnie
nováček
Příspěvky: 48
Registrován: březen 09
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod Ronnie » 30 bře 2009 16:12

OTMoveIt3:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
c:\windows\system32\smstf.dll unregistered successfully.
c:\windows\system32\smstf.dll moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Martin\LOCALS~1\Temp\WCESLog.log scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_48c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03302009_154158

Files moved on Reboot...
C:\DOCUME~1\Martin\LOCALS~1\Temp\WCESLog.log moved successfully.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_48c.dat moved successfully.
C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Martin\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\cp9z0zn4.default\XUL.mfl moved successfully.
Nahoru
Ronnie
nováček
Příspěvky: 48
Registrován: březen 09
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod Ronnie » 30 bře 2009 16:20

Je to takto vše?

V IE už nastavení spustit lze, zvuk ve streamovém videu také. Vše ostatní se chová normálně.

Pokud to je komplet, pak opravdu velmi děkuji za pomoc.

Ale přesto bych měl ještě otázku - kudy se to ke mě dostalo? Stačí mi jako prevence mít aktuální AVG (plus taková ta běžná obezřetnost) a nebo je dobré nechat rezidentně běžet ještě nějaké ochrany?
Nahoru
Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43294
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...  Vyřešeno

Příspěvekod jaro3 » 30 bře 2009 16:26

Je to vše , můžeš dát vyřešeno , fajfku.
Nákazy mohou chytnout na netu , z mailu, z programů, dat na flešce, CD atd.
Doporučuji něco na spyware s rez. ochranou- SpywareTerminator, Spybot atd.. Taky můžeš použít nějaký free firewall-ZoneAlarm, Kerio nebo Comodo.
Můžeš pohledat nějaké recenze, i tady na fóru.
Jinak není zač...
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Nahoru
Ronnie
nováček
Příspěvky: 48
Registrován: březen 09
Pohlaví: Muž
Stav:
Offline

Re: Kontrola logu aneb už nevím kudy kam...

Příspěvekod Ronnie » 30 bře 2009 21:21

Ještě jednou dík.

Ale mám ještě asi související problém, firewall ve windows nejde aktivovat - v daném dialogu jsou všechna pole zešedlá a žádné nelze zakliknout. Je to jen někde "výš" vypnuté nebo v tom má ještě někdo prsty?
Nahoru
Odpovědět

Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 60 hostů