Prosím o kontrolu logu!

[Pentia]

Dobrý den, prosím o kontrolu, mám hrozně zpomalený počítač a program mi hlásí, že mám spuštěný firefox, i když ho spuštěný nemám. Když se podívám do spávce programů, vidím opravdu spuštěný program firefox, ale okno na obrazovce spuštěné není. Netuším čím to je, ale obávám se virů apod. Děkuji za radu.

Zde je log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:46:54, on 24.11.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iWin Games\iWinTrusted.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MultiRes\MultiRes.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\PIII\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?SearchSource ... =CT1750559
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: iWin Toolbar - {ce0c2586-da36-452b-acdb-320d9bcb19bf} - C:\Program Files\iWin\tbiWin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEHlprObj Class - {8CA5ED52-F3FB-4414-A105-2E3491156990} - C:\Program Files\iWin Games\iWinGamesHookIE.dll
O2 - BHO: iWin Toolbar - {ce0c2586-da36-452b-acdb-320d9bcb19bf} - C:\Program Files\iWin\tbiWin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: iWin Toolbar - {ce0c2586-da36-452b-acdb-320d9bcb19bf} - C:\Program Files\iWin\tbiWin.dll
O4 - HKLM\..\Run: [MultiRes] C:\Program Files\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-343818398-688789844-839522115-1000\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iWinTrusted - iWin Inc. - C:\Program Files\iWin Games\iWinTrusted.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe

--
End of file - 3838 bytes

[Reklama]

[jaro3]

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?SearchSource ... =CT1750559
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)



Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.

Stáhni si GooredFix

a ulož si ho na plochu.Poklepej na něj .
Objeví se hláška ,dej YES
Otevře se log , zkopíruj sem celý jeho obsah ( jinak ho najdeš na své ploše pod názvem Goored.txt).


Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[Pentia]

Děkuji za radu, tady jsou logy:

GooredFix by jpshortstuff (18.11.09.1)
Log created at 18:28 on 25/11/2009 (PIII)
Firefox version 3.5.1 (cs)

========== GooredScan ==========


========== GooredLog ==========

C:\Program Files\Mozilla Firefox\extensions\
{972ce4c6-7e08-4474-a285-3208198ce6fd} [19:12 10/08/2009]

[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
"{98e34367-8df7-42b4-837b-20b892ff0848}"="C:\Program Files\iWin Games\firefox\" [21:28 21/11/2009]

-=E.O.F=-


Malwarebytes' Anti-Malware 1.41
Verze databáze: 3230
Windows 5.0.2195 Service Pack 4

25.11.2009 19:07:42
mbam-log-2009-11-25 (19-07-34).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 152781
Uplynulý čas: 24 minute(s), 57 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
HKEY_CURRENT_USER\{5617ECA9-488D-4BA2-8562-9710B9AB78D2} (Adware.DoubleD) -> No action taken.

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)

[jaro3]

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.


Pak si pořiď normální antivir-Aviru , Avast, AVG atd. ( vše free).

Deaktivuj Spybot+Ashampoo FireWall

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Pentia]

Jsou tam nějaké infekce. Tady jsou logy.

Malwarebytes' Anti-Malware 1.41
Verze databáze: 3230
Windows 5.0.2195 Service Pack 4

25.11.2009 21:34:23
mbam-log-2009-11-25 (21-34-23).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 152649
Uplynulý čas: 8 minute(s), 35 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
HKEY_CURRENT_USER\{5617ECA9-488D-4BA2-8562-9710B9AB78D2} (Adware.DoubleD) -> Quarantined and deleted successfully.

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)

ComboFix 09-11-25.01 - PIII 25.11.2009 21:45.9.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.255.55 [GMT 1:00]
Spuštěný z: c:\documents and settings\PIII\Plocha\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
/wow section - STAGE 32A


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Bronchitida - Ordinace.cz_soubory\logo.png
c:\documents and settings\PIII\Dokumenty\cc_20090616_141616.reg
c:\documents and settings\PIII\Dokumenty\cc_20090630_162921.reg
c:\program files\iWin Games\iWinGamesHookIE.dll
c:\program files\iWin\tbiWi1.dll
c:\winnt\isRS-000.tmp

c:\winnt\system32\comres.dll . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-10-25 do 2009-11-25 )))))))))))))))))))))))))))))))
.

2009-11-25 20:42 . 2009-11-25 20:42 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_290.dat
2009-11-25 17:40 . 2009-09-10 13:54 38224 -c--a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-11-25 17:40 . 2009-11-25 17:40 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-25 17:40 . 2009-09-10 13:53 18520 -c--a-w- c:\winnt\system32\drivers\mbam.sys
2009-11-24 20:22 . 2009-11-24 20:23 -------- dc----w- c:\documents and settings\47985-na-migrenu-se-pouziva-novy-lek_soubory
2009-11-24 20:22 . 2009-11-24 20:22 -------- dc----w- c:\documents and settings\47985-na-migrenu-se-pouziva-novy-lek_soubory\showad_data
2009-11-24 20:22 . 2009-11-24 20:22 -------- dc----w- c:\documents and settings\47985-na-migrenu-se-pouziva-novy-lek_soubory\context_data
2009-11-24 14:01 . 2009-11-24 14:01 -------- dc----w- c:\documents and settings\RecallingVIP_soubory
2009-11-24 13:44 . 2009-11-24 13:44 -------- dc----w- c:\documents and settings\telefonist-market_soubory
2009-11-24 13:43 . 2009-11-24 13:43 -------- dc----w- c:\documents and settings\TescoHostes_soubory
2009-11-24 13:37 . 2009-11-24 13:37 -------- dc----w- c:\documents and settings\galavečer-hostess_soubory
2009-11-24 13:32 . 2009-11-24 13:32 -------- dc----w- c:\documents and settings\Vykruta-čj_soubory
2009-11-24 13:16 . 2009-11-24 13:16 -------- dc----w- c:\documents and settings\Hostess čoko_soubory
2009-11-24 13:04 . 2009-11-24 13:04 -------- dc----w- c:\documents and settings\letáčky-pall_soubory
2009-11-24 13:02 . 2009-11-24 13:02 -------- dc----w- c:\documents and settings\fletna-douč_soubory
2009-11-23 22:11 . 2009-11-23 22:11 -------- dc----w- c:\documents and settings\mudr.paroubková_soubory
2009-11-23 22:10 . 2009-11-23 22:10 -------- dc----w- c:\documents and settings\praktickálékařka - hostons_soubory
2009-11-23 21:42 . 2009-11-23 21:42 -------- dc----w- c:\documents and settings\Léčivé rostliny - Kozinec_soubory
2009-11-23 21:32 . 2009-11-23 21:32 -------- dc----w- c:\documents and settings\bronchitida_soubory
2009-11-23 21:17 . 2009-11-25 20:54 -------- dc----w- c:\documents and settings\Bronchitida - Ordinace.cz_soubory
2009-11-23 11:20 . 2009-11-23 11:20 -------- dc----w- c:\documents and settings\CorpProd-reklama_soubory
2009-11-23 11:05 . 2009-11-23 11:05 -------- dc----w- c:\documents and settings\natáčení_soubory
2009-11-23 11:04 . 2009-11-23 11:04 -------- dc----w- c:\documents and settings\promoKosmetika_soubory
2009-11-23 10:55 . 2009-11-23 10:55 -------- dc----w- c:\documents and settings\parfum-brig_soubory
2009-11-23 10:55 . 2009-11-23 10:55 -------- dc----w- c:\documents and settings\ČeštinaKnížkováUK_soubory
2009-11-23 00:52 . 2009-11-23 00:52 -------- dc----w- c:\program files\Oberon Media
2009-11-23 00:52 . 2009-11-23 00:52 -------- dc----w- c:\program files\Common Files\Oberon Media
2009-11-21 21:32 . 2009-11-21 21:32 -------- dc----w- c:\program files\iWin.com
2009-11-21 21:28 . 2009-11-21 21:28 -------- dc----w- c:\program files\Conduit
2009-11-21 21:28 . 2009-11-25 20:55 -------- dc----w- c:\program files\iWin
2009-11-21 21:28 . 2009-11-25 20:55 -------- dc----w- c:\program files\iWin Games
2009-11-17 19:59 . 2009-08-16 15:08 178176 -c--a-w- c:\winnt\system32\unrar.dll
2009-11-17 19:59 . 2009-11-17 20:00 -------- dc----w- c:\program files\K-Lite Codec Pack
2009-11-11 00:09 . 2009-11-14 00:40 -------- dc----w- c:\program files\AVS4YOU
2009-11-08 15:06 . 2008-02-20 15:50 903680 -c--a-w- c:\winnt\Orion 2009 spořič obrazovky.scr
2009-11-08 15:06 . 2008-02-20 15:49 495104 -c--a-w- c:\winnt\Orion 2009 spořič obrazovky.exe
2009-11-08 15:06 . 2009-11-08 15:06 -------- dc----w- c:\winnt\Orion 2009 spořič obrazovky Uninstaller

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-14 00:50 . 2005-07-25 18:57 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-11-14 00:39 . 2009-10-12 20:18 -------- dc----w- c:\program files\Common Files\AVSMedia
2009-10-12 21:40 . 2009-10-12 21:23 -------- dc----w- c:\program files\SMPlayer
2009-10-12 21:39 . 2009-10-12 21:29 -------- dc----w- c:\program files\GRETECH
2009-10-12 21:39 . 2009-10-12 21:16 -------- dc----w- c:\program files\Crystal Player
2009-10-12 21:39 . 2009-10-12 21:18 -------- dc----w- c:\program files\AnvSoft Web FLV Player Free
2009-10-12 21:39 . 2009-10-12 21:20 -------- dc----w- c:\program files\GustoSoft
2009-10-12 20:42 . 2009-08-18 17:02 -------- dc----w- c:\program files\Webteh
2009-09-24 13:03 . 2009-09-24 13:03 579072 -c--a-w- c:\winnt\system32\WININET.DLL
2009-09-05 06:36 . 2001-06-14 00:00 55056 -c--a-w- c:\winnt\system32\msasn1.dll
.

------- Sigcheck -------

[-] 2003-02-01 10:09 . 9E1381B2DE2A23F8E4C22E814D55F475 . 52224 . . [9.0.1.56] . . c:\winnt\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MultiRes"="c:\program files\MultiRes\MultiRes.exe" [2005-01-26 61952]
"NvCplDaemon"="c:\winnt\system32\NvCpl.dll" [2004-10-29 4620288]
"NvMediaCenter"="c:\winnt\system32\NvMcTray.dll" [2004-10-29 86016]
"Ashampoo FireWall"="c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]
"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2004-10-29 921600]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 111888]

R2 iWinTrusted;iWinTrusted;c:\program files\iWin Games\iWinTrusted.exe [10.11.2009 3:17 78104]
R3 ctlsb16;Creative SB16/AWE32/AWE64 Driver (WDM);c:\winnt\system32\drivers\ctlsb16.sys [13.4.2009 14:09 141904]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - MBAMSwissArmy
.
.
------- Doplňkový sken -------
.
LSP: c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\PIII\Data aplikací\Mozilla\Firefox\Profiles\n3amsakj.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://google.com
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =150911&p=

---- NASTAVENÍ FIREFOXU ----
FF - user.js: network.proxy.type - 0
FF - user.js: network.proxy.http -
FF - user.js: network.proxy.http_port - 0
FF - user.js: network.proxy.ssl -
FF - user.js: network.proxy.ssl_port - 0
FF - user.js: network.proxy.ftp -
FF - user.js: network.proxy.ftp_port - 0
FF - user.js: network.proxy.gopher -
FF - user.js: network.proxy.gopher_port - 0
FF - user.js: network.proxy.socks_version - 5
FF - user.js: network.proxy.socks -
FF - user.js: network.proxy.socks_port - 0
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-NVIDIA Drivers - c:\winnt\system32\nvudisp.exe UninstallGUI



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-25 21:58
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\PIII\LOCALS~1\Temp\ASFWHide"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(184)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'lsass.exe'(224)
c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
.
Celkový čas: 2009-11-25 22:03
ComboFix-quarantined-files.txt 2009-11-25 21:03

Před spuštěním: 75 309 568
Po spuštění: 69 032 448

- - End Of File - - E42B7DBBF2C457D45E297EA80D48E968

Díky!

[jaro3]

Toto otestuj na Virustotal
c:\winnt\system32\comres.dll
c:\winnt\system32\mspmsnsv.dll
c:\program files\iWin Games\iWinTrusted.exe
Vlož sem pak odkazy výsledků.

Start-spustit-napiš: notepad ,do něho vlož tento celý text:

Kód: Vybrat vše

dir \comres.dll /a h /s > File.txt

uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

Zítra.

[Pentia]

Ahoj, děkuju.
Ten první soubor comres.dll jsem bohužel nenašla ani vyhledávačem, prostě tam není. Místo toho jsem tedy otestovala comrepl.dll, ale asi to nebude on. Přikládám výsledky:


MD5: c6c1a5c251173b88dcc176af89d5e73c
Poprvé zaslán: 2009.10.10 19:26:16 UTC
Datum: 2009.10.10 19:26:16 UTC [>47D]
Výsledky: 0/41
Stálý odkaz: analisis/0c1ef7b4c050df55299646d5b49aee41b49eb5f04dc97cbe5a93785ea9059766-1255202776

MD5: 9e1381b2de2a23f8e4c22e814d55f475
Poprvé zaslán: 2009.10.22 14:12:36 UTC
Datum: 2009.11.16 17:20:48 UTC [>10D]
Výsledky: 0/41
Stálý odkaz: analisis/4c7f30e78f6b54e6d427e366ef8e4fb0aa6504606a2efa23bbee964d34cb244f-1258392048


MD5: b8dcfeae1bdb0dff954b7f4706cbe102
Poprvé zaslán: 2009.11.13 11:08:45 UTC
Datum: 2009.11.25 15:27:46 UTC [+1D]
Výsledky: 4/41
Stálý odkaz: analisis/1c2a84322cb84a44c55e54028487a8c74a1d8e345268a06937a07ca4b4de4664-1259162866

A Notepad vypsal toto:

Svazek v jednotce C je SYSTEM
S‚riov‚ źˇslo svazku je B0C0-3053

Napiš mi prosím, zda mám event. tu infekci, kterou našel MBM vymazat. Díky za pomoc!

[jaro3]

MBM? To myslíš snad MbAM , ale tam je to smazaný. Ten infikovaný soubor na virus total je tento:
c:\program files\iWin Games\iWinTrusted.exe ?

Zkus ještě jednou a napřed udělej toto:
V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko u nezobrazovat systémové soubory.

Toto otestuj na Virustotal
c:\winnt\system32\comres.dll
Vlož sem pak odkaz výsledku.

Ale spíš tam není...