Prosim o kontrolu + Vyřešeno

[SM4JL]

tak zde je log z CF:

ComboFix 09-07-26.03 - Marw 27.07.2009 20:50.5.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1015.640 [GMT 2:00]
Spuštěný z: c:\documents and settings\Marw\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Marw\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090722-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Vytvořen nový Bod Obnovení

FILE ::
"c:\temp\sv1c3.tmp"
"c:\windows\system32\KB905474\wgasetup.exe"
"c:\windows\Tasks\WGASetup.job"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\KB905474\wgasetup.exe
c:\windows\Tasks\WGASetup.job

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-06-27 do 2009-07-27 )))))))))))))))))))))))))))))))
.

2009-07-27 18:54 . 2009-07-27 18:54 53248 ----a-w- c:\temp\catchme.dll
2009-07-27 18:53 . 2009-07-27 18:53 -------- d-----w- c:\temp\WPDNSE
2009-07-27 18:53 . 2009-07-27 18:53 -------- d-----w- c:\temp\svmd.tmp
2009-07-27 18:52 . 2009-07-27 18:52 60416 ----a-w- c:\temp\Perflib_Perfdata__755.dat
2009-07-27 07:09 . 2009-07-27 08:58 -------- d-----w- c:\documents and settings\Marw\DoctorWeb
2009-07-22 18:50 . 2009-07-22 18:50 -------- d-----w- c:\windows\system32\xircom
2009-07-22 18:50 . 2009-07-22 18:50 -------- d-----w- c:\windows\system32\wbem\snmp
2009-07-22 18:50 . 2009-07-22 18:50 -------- d-----w- c:\windows\system32\restore
2009-07-22 18:50 . 2009-07-22 18:50 -------- d-----w- c:\program files\microsoft frontpage
2009-07-22 18:04 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 18:04 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-22 16:24 . 2009-07-22 16:24 -------- d-----w- c:\program files\ESET
2009-07-20 06:46 . 2009-07-20 06:46 -------- d-----w- c:\temp\BullZip
2009-07-20 06:43 . 2008-10-30 20:15 227840 ----a-w- c:\windows\system32\bzFlRdr.dll
2009-07-20 06:43 . 2008-09-26 17:44 126976 ----a-w- c:\windows\system32\bzpdfc.dll
2009-07-20 06:43 . 2008-07-09 21:19 103424 ----a-w- c:\windows\system32\bzDCT.dll
2009-07-20 06:43 . 2008-09-05 03:29 193024 ----a-w- c:\windows\system32\bzpdf.dll
2009-07-20 06:43 . 2009-07-20 06:43 -------- d-----w- c:\program files\Bullzip
2009-07-11 17:39 . 2009-07-12 11:29 -------- d-----w- C:\Pro Ivana

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-22 17:30 . 2001-10-25 11:00 76586 ----a-w- c:\windows\system32\perfc005.dat
2009-07-22 17:30 . 2001-10-25 11:00 426546 ----a-w- c:\windows\system32\perfh005.dat
2009-07-22 14:41 . 2009-02-13 17:47 -------- d-----w- c:\program files\Windows Media Connect 2
2009-07-13 09:52 . 2009-02-14 11:20 -------- d-----w- c:\program files\Winamp
2009-06-19 00:01 . 2009-06-19 00:01 -------- d-----w- c:\program files\Alwil Software
2009-06-16 14:40 . 2008-04-14 05:52 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2008-04-14 05:51 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-14 19:38 . 2009-03-25 10:36 -------- d-----w- c:\program files\JDownloader
2009-06-10 21:21 . 2009-02-14 10:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-10 21:20 . 2009-06-10 14:59 -------- d-----w- c:\program files\Common Files\InstallShield
2009-06-03 19:11 . 2008-04-14 05:51 1293824 ----a-w- c:\windows\system32\quartz.dll
2009-05-07 15:33 . 2008-04-14 05:51 346624 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:47 . 2008-08-08 14:43 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:47 . 2008-08-08 14:43 78336 ----a-w- c:\windows\system32\ieencode.dll
.

------- Sigcheck -------



[-] 2008-08-08 14:44 1571840 1E603EA2A3FDBAE9E5B88A8CB3C03124 c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot_2009-07-27_06.59.32 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-27 14:20 . 2009-07-27 14:20 16384 c:\windows\Temp\Perflib_Perfdata_720.dat
+ 2009-07-27 18:53 . 2009-07-27 18:53 16384 c:\windows\Temp\Perflib_Perfdata_6d4.dat
+ 2009-07-27 18:54 . 2009-07-27 18:54 16384 c:\windows\Temp\Perflib_Perfdata_540.dat
+ 2009-05-11 12:49 . 2009-07-27 10:06 49152 c:\windows\Installer\{EB0508A0-162A-4996-85A1-00C07D33445A}\NDLAUNCHER.EXE21_0F7C082DF5DE44C08A265D17DA03A33A.exe
- 2009-05-11 12:49 . 2009-05-11 12:49 49152 c:\windows\Installer\{EB0508A0-162A-4996-85A1-00C07D33445A}\NDLAUNCHER.EXE21_0F7C082DF5DE44C08A265D17DA03A33A.exe
+ 2009-05-11 12:49 . 2009-07-27 10:06 49152 c:\windows\Installer\{EB0508A0-162A-4996-85A1-00C07D33445A}\NDLAUNCHER.EXE2_1A2D1828B04247A4BD62A3A39F8B15BB.exe
- 2009-05-11 12:49 . 2009-05-11 12:49 49152 c:\windows\Installer\{EB0508A0-162A-4996-85A1-00C07D33445A}\NDLAUNCHER.EXE2_1A2D1828B04247A4BD62A3A39F8B15BB.exe
- 2009-05-11 12:49 . 2009-05-11 12:49 9158 c:\windows\Installer\{EB0508A0-162A-4996-85A1-00C07D33445A}\ARPPRODUCTICON.exe
+ 2009-05-11 12:49 . 2009-07-27 10:06 9158 c:\windows\Installer\{EB0508A0-162A-4996-85A1-00C07D33445A}\ARPPRODUCTICON.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-19 774233]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2008-04-14 136704]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2009-04-29 124928]

c:\documents and settings\Marw\Nabˇdka Start\Programy\Po spuçtŘnˇ\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-1-15 393216]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\QIP\\qip.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Hry\\Heroes of Might and Magic III Complete\\Heroes3.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Hry\\LF2_v2.0\\lf2.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56892:TCP"= 56892:TCP:Pando Media Booster
"56892:UDP"= 56892:UDP:Pando Media Booster

R0 iastor78;iastor78;c:\windows\system32\drivers\iastor78.sys [8.8.2008 17:10 308248]
R1 aswsp;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [19.6.2009 2:01 114768]
R2 aswfsblk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19.6.2009 2:01 20560]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
.

**************************************************************************

creating catchme.sys error: Proces nemá přístup k souboru, neboť jej právě využívá jiný proces.
driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-27 20:54
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1606980848-527237240-1417001333-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:90,ea,62,87,50,66,8a,6e,57,a3,a7,81,fc,bb,ad,f9,7d,68,b4,a9,17,95,3e,
b5,96,60,52,e2,83,44,79,81,26,95,13,0c,02,5d,b6,2a,95,51,28,3a,c2,21,14,a4,\
"??"=hex:09,14,dc,76,c3,bb,ab,02,74,e9,9b,01,4d,1c,07,f1
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll

- - - - - - - > 'lsass.exe'(936)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll

- - - - - - - > 'explorer.exe'(3512)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe
c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Celkový čas: 2009-07-27 20:58 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-07-27 18:57
ComboFix2.txt 2009-07-27 14:24
ComboFix3.txt 2009-07-27 07:03
ComboFix4.txt 2009-07-22 20:35
ComboFix5.txt 2009-07-27 18:49

Před spuštěním: Volných bajtů: 23 292 391 424
Po spuštění: Volných bajtů: 23 285 628 928

179 --- E O F --- 2009-07-23 01:01



a zde oba logy z DDS:


DDS (Ver_09-06-26.01) - NTFSx86
Run by Marw at 21:00:00,75 on po 27.07.2009
Internet Explorer: 7.0.5730.13
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1015.558 [GMT 2:00]

AV: avast! antivirus 4.8.1335 [VPS 090722-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Marw\Plocha\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.com/
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [DAEMON Tools Lite] "c:\program files\daemon tools lite\daemon.exe" -autorun
uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program files\common files\ahead\lib\NMBgMonitor.exe"
mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [avast!] c:\progra~1\alwils~1\avast4\ashDisp.exe
mRunOnce: [WIAWizardMenu] RUNDLL32.EXE c:\windows\system32\sti_ci.dll,WiaCreateWizardMenu
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
StartupFolder: c:\docume~1\marw\nabdka~1\programy\posput~1\openof~1.lnk - c:\program files\openoffice.org 3\program\quickstart.exe
uPolicies-explorer: NoSMConfigurePrograms = 1 (0x1)
dPolicies-explorer: NoSMHelp = 1 (0x1)
dPolicies-explorer: NoSMConfigurePrograms = 1 (0x1)
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} - hxxp://www.acclaim.com/cabs/acclaim_v4.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll

============= SERVICES / DRIVERS ===============

R0 iastor78;iastor78;c:\windows\system32\drivers\iastor78.sys [2008-8-8 308248]
R1 aswsp;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-6-19 114768]
R2 aswfsblk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-6-19 20560]
R2 avast! antivirus;avast! Antivirus;c:\program files\alwil software\avast4\ashServ.exe [2009-6-19 138680]
R3 avast! mail scanner;avast! Mail Scanner;c:\program files\alwil software\avast4\ashMaiSv.exe [2009-6-19 254040]
R3 avast! web scanner;avast! Web Scanner;c:\program files\alwil software\avast4\ashWebSv.exe [2009-6-19 352920]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2008-4-13 69120]

=============== Created Last 30 ================

2009-07-27 20:59 <DIR> --d----- c:\temp\RarSFX0
2009-07-27 20:57 <DIR> --d----- c:\temp\WPDNSE
2009-07-27 20:53 <DIR> --d----- c:\temp\svmd.tmp
2009-07-27 20:52 60,416 a------- c:\temp\Perflib_Perfdata__755.dat
2009-07-27 20:49 <DIR> --ds---- C:\ComboFix
2009-07-27 09:09 <DIR> --d----- c:\documents and settings\marw\DoctorWeb
2009-07-22 20:53 <DIR> --d----- c:\windows\system32\dllcache\cache
2009-07-22 20:50 <DIR> --d----- c:\windows\system32\xircom
2009-07-22 20:50 <DIR> --d----- c:\windows\system32\wbem\snmp
2009-07-22 20:50 <DIR> --d----- c:\windows\system32\restore
2009-07-22 20:50 <DIR> --d----- c:\windows\system32\inetsrv
2009-07-22 20:50 <DIR> --d----- c:\program files\windows nt
2009-07-22 20:50 <DIR> --d----- c:\program files\msn gaming zone
2009-07-22 20:50 <DIR> --d----- c:\program files\common files\speechengines
2009-07-22 20:45 <DIR> a-dshr-- C:\cmdcons
2009-07-22 20:44 219,648 a------- c:\windows\PEV.exe
2009-07-22 20:44 161,792 a------- c:\windows\SWREG.exe
2009-07-22 20:44 98,816 a------- c:\windows\sed.exe
2009-07-22 20:04 <DIR> --d----- c:\docume~1\marw\dataap~1\Malwarebytes
2009-07-22 20:04 38,160 a------- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 20:04 <DIR> --d----- c:\docume~1\alluse~1\dataap~1\Malwarebytes
2009-07-22 20:04 19,096 a------- c:\windows\system32\drivers\mbam.sys
2009-07-22 19:16 <DIR> --d----- c:\windows\pss
2009-07-22 18:24 <DIR> --d----- c:\program files\ESET
2009-07-22 14:57 <DIR> --d----- c:\docume~1\alluse~1\dataap~1\13989374
2009-07-20 08:46 <DIR> --d----- c:\docume~1\marw\dataap~1\Bullzip
2009-07-20 08:46 <DIR> --d----- c:\temp\BullZip
2009-07-20 08:43 227,840 a------- c:\windows\system32\bzFlRdr.dll
2009-07-20 08:43 126,976 a------- c:\windows\system32\bzpdfc.dll
2009-07-20 08:43 103,424 a------- c:\windows\system32\bzDCT.dll
2009-07-20 08:43 193,024 a------- c:\windows\system32\bzpdf.dll
2009-07-20 08:43 140,288 a------- c:\windows\system32\comdlg32.OCX
2009-07-20 08:43 <DIR> --d----- c:\program files\Bullzip
2009-07-11 20:13 177 a------- c:\windows\wcx_ftp.ini
2009-07-11 19:39 <DIR> --d----- C:\Pro Ivana

==================== Find3M ====================

2009-07-22 19:30 426,546 a------- c:\windows\system32\perfh005.dat
2009-07-22 19:30 76,586 a------- c:\windows\system32\perfc005.dat
2009-06-16 16:40 119,808 a------- c:\windows\system32\t2embed.dll
2009-06-16 16:40 81,920 a------- c:\windows\system32\fontsub.dll
2009-06-16 16:40 119,808 -------- c:\windows\system32\dllcache\t2embed.dll
2009-06-16 16:40 81,920 -------- c:\windows\system32\dllcache\fontsub.dll
2009-06-03 21:11 1,293,824 a------- c:\windows\system32\quartz.dll
2009-06-03 21:11 1,293,824 -------- c:\windows\system32\dllcache\quartz.dll
2009-05-07 17:33 346,624 a------- c:\windows\system32\localspl.dll
2009-05-07 17:33 346,624 -------- c:\windows\system32\dllcache\localspl.dll
2009-04-15 08:49 16,384 a--sh--- c:\windows\system32\config\systemprofile\cookies\index.dat
2009-04-15 08:49 32,768 a--sh--- c:\windows\system32\config\systemprofile\local settings\history\history.ie5\index.dat
2009-02-13 19:51 32,768 a--sh--- c:\windows\system32\config\systemprofile\local settings\history\history.ie5\mshist012009021320090214\index.dat
2009-04-15 08:49 32,768 a--sh--- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\index.dat

============= FINISH: 21:00:20,23 ===============







UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-06-26.01)

Systém Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 13.2.2009 18:50:35
System Uptime: 27.7.2009 20:53:02 (1 hours ago)

Motherboard: Hewlett-Packard | | 30D5
Processor: Intel(R) Core(TM)2 CPU T5200 @ 1.60GHz | U10 | 1596/133mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 149 GiB total, 21,702 GiB free.
D: is CDROM ()
E: is CDROM ()

==== Disabled Device Manager Items =============

==== System Restore Points ===================

No restore point in system.

==== Installed Programs ======================

9Dragons
AAC Decoder
ACE Mega CoDecS Pack
Acrobat.com
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.2
Aktualizace systému Windows XP (KB898461)
Aktualizace systému Windows XP (KB951978)
Aktualizace systému Windows XP (KB955839)
Aktualizace systému Windows XP (KB967715)
Aktualizace zabezpečení aplikace Windows Media Player (KB952069)
Aktualizace zabezpečení aplikace Windows Media Player 11 (KB936782)
Aktualizace zabezpečení aplikace Windows Media Player 11 (KB954154)
Aktualizace zabezpečení produktu Windows XP (KB941569)
Aktualizace zabezpečení systému Windows Internet Explorer 7 (KB938127-v2)
Aktualizace zabezpečení systému Windows Internet Explorer 7 (KB961260)
Aktualizace zabezpečení systému Windows Internet Explorer 7 (KB963027)
Aktualizace zabezpečení systému Windows Internet Explorer 7 (KB969897)
Aktualizace zabezpečení systému Windows XP (KB938464)
Aktualizace zabezpečení systému Windows XP (KB946648)
Aktualizace zabezpečení systému Windows XP (KB950760)
Aktualizace zabezpečení systému Windows XP (KB950762)
Aktualizace zabezpečení systému Windows XP (KB950974)
Aktualizace zabezpečení systému Windows XP (KB951376-v2)
Aktualizace zabezpečení systému Windows XP (KB951698)
Aktualizace zabezpečení systému Windows XP (KB951748)
Aktualizace zabezpečení systému Windows XP (KB952004)
Aktualizace zabezpečení systému Windows XP (KB952954)
Aktualizace zabezpečení systému Windows XP (KB954211)
Aktualizace zabezpečení systému Windows XP (KB954459)
Aktualizace zabezpečení systému Windows XP (KB954600)
Aktualizace zabezpečení systému Windows XP (KB955069)
Aktualizace zabezpečení systému Windows XP (KB956572)
Aktualizace zabezpečení systému Windows XP (KB956802)
Aktualizace zabezpečení systému Windows XP (KB956803)
Aktualizace zabezpečení systému Windows XP (KB956841)
Aktualizace zabezpečení systému Windows XP (KB957097)
Aktualizace zabezpečení systému Windows XP (KB958644)
Aktualizace zabezpečení systému Windows XP (KB958687)
Aktualizace zabezpečení systému Windows XP (KB958690)
Aktualizace zabezpečení systému Windows XP (KB959426)
Aktualizace zabezpečení systému Windows XP (KB960225)
Aktualizace zabezpečení systému Windows XP (KB960715)
Aktualizace zabezpečení systému Windows XP (KB960803)
Aktualizace zabezpečení systému Windows XP (KB961371)
Aktualizace zabezpečení systému Windows XP (KB961373)
Aktualizace zabezpečení systému Windows XP (KB961501)
Aktualizace zabezpečení systému Windows XP (KB968537)
Aktualizace zabezpečení systému Windows XP (KB970238)
Aktualizace zabezpečení systému Windows XP (KB971633)
Aktualizace zabezpečení systému Windows XP (KB973346)
AutoUpdate
avast! Antivirus
Blade & Sword
BSPlayer
Bullzip PDF Printer 6.0.0.702
Conexant HD Audio
Důležitá aktualizace aplikace Windows Media Player 11 (KB959772)
DivX Codec
DivX Converter
DivX Plus DirectShow Filters
DivX Version Checker
DivX Web Player
DreamCom SE 1.3
ESET Online Scanner v3
Foxit Reader
GPL Ghostscript Lite 8.64
H.264 Decoder
HDAUDIO Soft Data Fax Modem with SmartCP
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
Infernal
Intel(R) Graphics Media Accelerator Driver
Java(TM) 6 Update 13
Kodek 0.16 CZ
LEGO Star Wars
Little Fighter 2 version 2.0
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - CSY
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - CSY
Microsoft .NET Framework 3.5 Language Pack SP1 - csy
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 – jazyková sada – CSY
Microsoft Visual C++ 2005 Redistributable
MKV Splitter
Montezumova pomsta
MSXML 4.0 SP2 (KB954430)
Nero 7 Premium
neroxml
NetWaiting
Ogg Vorbis ACM Codec
OpenOffice.org 3.0
Opera 9.64
Oprava hotfix aplikace Windows Media Player 11 (KB939683)
Oprava Hotfix systému Windows XP (KB952287)
Oprava Hotfix systému Windows XP (KB961118)
Pando Media Booster
QIP 2005 8092
RealPlayer
Spybot - Search & Destroy
Star Wars JK II Jedi Outcast
Synaptics Pointing Device Driver
System Requirements Lab
Total Commander (Remove or Repair)
VC80CRTRedist - 8.0.50727.762
VLC media player 0.9.8a
Vypínač na dobrou noc verze 2.0
WebFldrs XP
Winamp
Windows Genuine Advantage Notifications (KB905474)
WinRAR
WinUHA 2.0 RC1 (2005.02.27)
XML Paper Specification Shared Components Language Pack 1.0

==== End Of File ===========================


log z online scannu dodam az bude hotov

[Reklama]

[jaro3]

Tuto složku znáš:
c:\docume~1\alluse~1\dataap~1\13989374 ??

Toto otestuj na Virustotal
c:\temp\svmd.tmp
Vlož sem pak odkaz výsledku.

+ dodej sken Kaspersky , v programech nic nebezpečného není. Napiš , jak se chová comp.
Podívám se zítra.

[SM4JL]

c:\temp\svmd.tmp je prazdna slozka takze jsem ji otestovat nemohl.

zminovana slozka z dat aplikaci mi neni nijak znama. PC se chova dobre jen na QIPu zada o autorizaci az podezrele moc spamovych cisel (alespon jeste dnes dopoledne tomu tak bylo) jinak se zda byt vse ok.

zde je scan z kaspersky (infikovany archiv jsem odstranil):

Monday, July 27, 2009
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Monday, July 27, 2009 21:14:04
Records in database: 2555466

Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
C:\
D:\
E:\

Scan statistics
Files scanned 48288
Threat name 1
Infected objects 1
Suspicious objects 0
Duration of the scan 01:17:10

File name Threat name Threats count
C:\Hry\Blade and Sword\blade-and-sword-v105-trainer-plus8.zip Infected: Trojan.Win32.Genome.wfq 1

The selected area was scanned.

[jaro3]

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u

vyčisti systém CCleanerem

a použij i T-Cleaner
smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš>spustíš

Stáhni si TFC
Otevři soubor a zavři všechny ostatní okna, Klikni na Start k zahájení procesu. Program by neměl trvat dlouho.
Poté by se měl PC restartovat, pokud ne , proveď sám.

Najdi a smaž:
C:\Hry\Blade and Sword\blade-and-sword-v105-trainer-plus8.zip

tuto složku , když neznáš :
c:\docume~1\alluse~1\dataap~1\13989374 --koukni , co v ní je, a vlož sem

Stáhni si a spusť pod účtem administrátora Avenger
Tlačítkem OK potvrď, že vše, co děláš v tomto programu, děláš na vlastní riziko
Zvol možnost "Load script from internet URL"
Do řádku pod tím zkopíruj následující adresu:

Kód: Vybrat vše

http://ne-e.eu/stration/script.txt
 

Klikni na Execute ke spuštění programu, nakonec klikni na OK a Tvůj počítač se restartuje
Poté sem vlož nový log z HijackThis ke kontrole.

[SM4JL]

ve slozce C:/Docume.../All Use.../Data A.../13989374 je stejnojmenny soubor bez pripony s velikosti 56b

CC, TC, TFC i avenger probehl a zde je novy log z HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:27:52, on 28.7.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Marw\Plocha\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (idrivert) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

--
End of file - 5598 bytes

[jaro3]

Ten soubor ve složce:
c:\docume~1\alluse~1\dataap~1\13989374
otestuj na Virustotal
Vlož sem pak odkaz výsledku.


Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

sc config nProtect GameGuard Service (npggsvc)  start= disabled
sc stop nProtect GameGuard Service (npggsvc)
sc delete nProtect GameGuard Service (npggsvc)
sc config npggsvc start= disabled
sc stop npggsvc
sc delete npggsvc

ulož si ho na plochu jako-název remove.bat a ulož ho jako typ všechny soubory , najdi na ploše tento soubor , spusť ho poklepáním.Otevře se Dosovské okno a zavře. Restartuj comp.

Jinak je vše O.K.
Pokud bude ten soubor na VT v pořádku , je to vše.

[SM4JL]

tak zminovany soubor byl cisty (ani jeden z antiviru ve virustotal nenasel zadny problem). zde je log:

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.24 2009.07.28 -
AhnLab-V3 5.0.0.2 2009.07.28 -
AntiVir 7.9.0.228 2009.07.28 -
Antiy-AVL 2.0.3.7 2009.07.28 -
Authentium 5.1.2.4 2009.07.27 -
Avast 4.8.1335.0 2009.07.27 -
AVG 8.5.0.387 2009.07.28 -
BitDefender 7.2 2009.07.28 -
CAT-QuickHeal 10.00 2009.07.28 -
ClamAV 0.94.1 2009.07.28 -
Comodo 1793 2009.07.28 -
DrWeb 5.0.0.12182 2009.07.28 -
eSafe 7.0.17.0 2009.07.27 -
eTrust-Vet 31.6.6643 2009.07.28 -
F-Prot 4.4.4.56 2009.07.27 -
F-Secure 8.0.14470.0 2009.07.28 -
Fortinet 3.120.0.0 2009.07.28 -
GData 19 2009.07.28 -
Ikarus T3.1.1.64.0 2009.07.28 -
Jiangmin 11.0.800 2009.07.28 -
K7AntiVirus 7.10.803 2009.07.27 -
Kaspersky 7.0.0.125 2009.07.28 -
McAfee 5690 2009.07.27 -
McAfee+Artemis 5690 2009.07.27 -
McAfee-GW-Edition 6.8.5 2009.07.28 -
Microsoft 1.4903 2009.07.28 -
NOD32 4284 2009.07.28 -
Norman 6.01.09 2009.07.28 -
nProtect 2009.1.8.0 2009.07.28 -
Panda 10.0.0.14 2009.07.28 -
PCTools 4.4.2.0 2009.07.28 -
Prevx 3.0 2009.07.28 -
Rising 21.40.12.00 2009.07.28 -
Sophos 4.44.0 2009.07.28 -
Sunbelt 3.2.1858.2 2009.07.28 -
Symantec 1.4.4.12 2009.07.28 -
TheHacker 6.3.4.3.375 2009.07.28 -
TrendMicro 8.950.0.1094 2009.07.28 -
VBA32 3.12.10.9 2009.07.28 -
ViRobot 2009.7.28.1857 2009.07.28 -
VirusBuster 4.6.5.0 2009.07.27 -
Rozšiřující informace
File size: 56 bytes
MD5 : c6a549866dd4c40ff8105a223ea0ffe3
SHA1 : d7a13e1c5ef7b8adb15e89871bed19a30f9faaf4
SHA256: 22905299f9b8e123ec3ccb3e356dd7b1390809a17063a8256510bcb2ab35f033
TrID : File type identification
OpenGL object (79.9%)
Adobe PhotoShop Brush (20.0%)
MS Flight Simulator Aircraft Performance Info (0.0%)
ssdeep: 3:9lll+fkWt/el:2b16
PEiD : -
RDS : NSRL Reference Data Set
-


Mnohokrat diky za pomoc. Snad to uz bude v pohode.