PC-HELP.CZ

Pro lepší představivost přikládám obrázek, nevím jak fixnout BHO, když to zkusím, tak mi to napíšu něco v tom smyslu, ať zavřu všechny okna s IE a ještě nějaké doplňky i při neaktivitě internetu (odpojení od sítě) se problém nevyřeší, chce to nejspíš smazat přislušnou knihovnu v systemu a ještě nějaký spouštěč, nic se mi ale nevede, projel jsem to antivirákem ale nic mi nenašel, poradíte ?

Vypni rezidentní štít ve Spyware Terminátoru:
Spusť Spywater Terminátora, nahoře klikni na ikonu Rezidentní štít
- program se přepne do okna Natavení rezidentního štítu
- tam na záložce Nastavení štítu zruš zatržení u položky: Aktivovat Rezidentní štít
- klikni dole na tlačítko: Uložit změny
- zavři program

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Pak si stáhni ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

Zde je log, ale nevím, jestli to byl dobrý nápad s tím vypnutím rezidentního štítu, držel jsem tam všechny nechtěné spuštěné aplikace a když jsem ho vypl, tak to bylo něco jako, když jsem odemkl zlodějovi.



ComboFix 08-09-12.06 - Jarek 2008-09-13 12:28:12.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.1110 [GMT 2:00]
Spuštěný z: C:\Documents and Settings\Jarek\Plocha\ComboFix.exe
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM0fea73f2.txt
C:\WINDOWS\BM0fea73f2.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\KUuDJRqr.ini
C:\WINDOWS\system32\KUuDJRqr.ini2
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((((( Soubory vytvořené od 2008-08-13 do 2008-09-13 )))))))))))))))))))))))))))))))
.

2008-09-13 12:31 . 2008-09-13 12:31 110,419 --a------ C:\WINDOWS\BM0fea73f2.xml
2008-08-28 19:45 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Canneverbe_Limited
2008-08-28 17:34 . 2008-08-28 17:34 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-08-27 19:31 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\JAlbum
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\system32\cs
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-27 10:40 . 2008-08-27 10:40 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-26 09:33 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-23 12:01 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\uTorrent
2008-08-15 08:34 . 2008-04-11 21:06 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Zoner
2008-09-02 17:48 --------- d-----w C:\Program Files\Common Files\EZB Systems
2008-08-30 21:14 --------- d-s---w C:\Documents and Settings\Jarek\Data aplikací\Microsoft
2008-08-30 21:10 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Silver Style Entertainment
2008-08-29 09:04 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-08-26 10:54 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Mozilla
2007-10-20 18:33 3 -c--a-w C:\Documents and Settings\Jarek\BBCONFIG.DAT
1999-04-23 22:22 12 -csh--w C:\WINDOWS\system\WININETICMP32.drv
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41416972-C887-4D51-A8FC-9AEC08B7BA5E}]
2002-09-13 10:03 253440 --a------ C:\WINDOWS\system32\rqRJDuUK.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 2512392]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"BM0fea73f2"="C:\WINDOWS\system32\cxwgdorm.dll" [2002-09-13 100864]
"P17Helper"="P17.dll" [2005-05-03 C:\WINDOWS\system32\P17.DLL]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-05-16 14:01 13529088 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]
--a------ 2008-08-27 11:53 1783808 C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Hamachi\\hamachi.exe"=
"D:\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"D:\\IW FTPort Client\\Cftp32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\ONENOTE.EXE"=
"D:\\uTorrent\\utorrent.exe"=
"F:\\UT2004\\System\\UT2004.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-06-08 141312]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;C:\WINDOWS\system32\DRIVERS\Amps2prt.sys [2006-01-11 13824]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2008-04-13 69120]
R3 tenCapture;tenCapture;C:\WINDOWS\system32\DRIVERS\tenCapture.sys [2007-04-21 9344]
S0 OCDE;ZTekWare Original CD Emulator Service;C:\WINDOWS\system32\Drivers\OCDE.sys [ ]
S3 cem56;Xircom CreditCard 10/100 + Modem 56 Network;C:\WINDOWS\system32\DRIVERS\CEM56n5.sys [2001-10-24 49182]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\screamingbdriver.sys [2005-11-21 13824]
S3 SQTECH930B;Trust WB-3500T USB2 Webcam;C:\WINDOWS\system32\Drivers\Capt930b.sys [2005-04-21 273982]
S4 NMSAccessU;NMSAccessU;D:\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{118f7ed0-9209-11dc-ade6-001a92159d7d}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(0)\command - Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{881b7f8a-fce1-11db-ab63-806d6172696f}]
\Shell\AutoRun\command - G:\setup.exe
\Shell\dinstall\command - G:\Quake3\directx7\dxsetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2003d26-00b1-11dc-ab82-001a92159d7d}]
\Shell\AutoRun\command - H:\level.exe
\Shell\dxsetup\command - directx\dxsetup.exe
\Shell\level\command - H:\level.exe
\Shell\setup\command - H:\setup.exe
.
Obsah adresáře 'Naplánované úlohy'
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

Notify-WgaLogon - (no file)


.
------- Doplňkový sken -------
.
O17 -: HKLM\CCS\Interface\{99C72B01-DCAC-40CA-ABC3-CD6214DFABA9}: NameServer = 62.129.50.20,62.129.32.100
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 12:31:42
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Celkový čas: 2008-09-13 12:32:43 - počítač byl restartován
ComboFix-quarantined-files.txt 2008-09-13 10:32:40

P°ed spuÜtýnÝm: 1,336,807,424
Po spuÜtýnÝ: 1,333,772,288

143 --- E O F --- 2008-08-28 13:20:10

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť

- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT.

Log z ComboFixu:

ComboFix 08-09-12.06 - Jarek 2008-09-14 13:24:14.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.1033 [GMT 2:00]
Spuštěný z: C:\Documents and Settings\Jarek\Plocha\ComboFix.exe
Command switches used :: C:\Documents and Settings\Jarek\Plocha\CFScript.txt
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM0fea73f2.txt
C:\WINDOWS\BM0fea73f2.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\afayxygt.dll
C:\WINDOWS\system32\epqatyvs.dll
C:\WINDOWS\system32\itdwaomb.dll
C:\WINDOWS\system32\KUuDJRqr.ini
C:\WINDOWS\system32\KUuDJRqr.ini2
C:\WINDOWS\system32\ltdwefjk.dll
C:\WINDOWS\system32\miqjnawx.dll
C:\WINDOWS\system32\omowoxhi.dll
C:\WINDOWS\system32\qclxubjq.dll
C:\WINDOWS\system32\ulsyqjtn.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2008-08-14 do 2008-09-14 )))))))))))))))))))))))))))))))
.

2008-09-14 12:47 . 2008-09-14 12:47 <DIR> d-------- C:\Program Files\Opera
2008-09-14 12:47 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Opera
2008-09-14 11:47 . 2008-09-14 11:47 <DIR> d-------- C:\WINDOWS\Globalization
2008-09-13 19:12 . 2008-09-14 07:57 1,078,568 ---hs---- C:\WINDOWS\system32\qjbuxlcq.ini
2008-09-13 12:56 . 2008-09-13 19:12 1,078,388 ---hs---- C:\WINDOWS\system32\yfidplxc.ini
2008-08-28 19:45 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Canneverbe_Limited
2008-08-28 17:34 . 2008-08-28 17:34 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-08-27 19:31 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\JAlbum
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\system32\cs
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-27 10:40 . 2008-08-27 10:40 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-26 09:33 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-23 12:01 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\uTorrent
2008-08-15 08:34 . 2008-04-11 21:06 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-14 09:46 --------- d-----w C:\Program Files\Nokia
2008-09-14 09:46 --------- d-----w C:\Program Files\Common Files\Nokia
2008-09-14 08:32 --------- d-----w C:\Program Files\WinClamAVShield
2008-09-14 08:31 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Spyware Terminator
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Zoner
2008-09-02 17:48 --------- d-----w C:\Program Files\Common Files\EZB Systems
2008-08-30 21:14 --------- d-s---w C:\Documents and Settings\Jarek\Data aplikací\Microsoft
2008-08-30 21:10 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Silver Style Entertainment
2008-08-29 09:04 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-08-26 10:54 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Mozilla
2007-10-20 18:33 3 -c--a-w C:\Documents and Settings\Jarek\BBCONFIG.DAT
1999-04-23 22:22 12 -csh--w C:\WINDOWS\system\WININETICMP32.drv
.

((((((((((((((((((((((((((((( snapshot@2008-09-13_12.32.27.80 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-14 09:46:45 40,960 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MDataStore\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MDataStore.dll
+ 2008-09-14 09:46:45 6,144 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MEvent\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MEvent.dll
+ 2008-09-14 09:46:48 8,704 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MItemPlugins\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MItemPlugins.dll
+ 2008-09-14 09:46:48 11,264 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MItems\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MItems.dll
+ 2008-09-14 09:46:43 11,776 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MMTPTransfer\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MMTPTransfer.dll
+ 2008-09-14 09:46:44 10,240 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MRemoteDataStore\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MRemoteDataStore.dll
+ 2008-09-14 09:46:48 5,120 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MServer\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MServer.dll
+ 2008-09-14 09:46:44 12,288 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MSyncMLTransfer\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MSyncMLTransfer.dll
+ 2008-09-14 09:46:44 28,672 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MSynchronizationService\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MSynchronizationService.dll
+ 2008-09-14 09:46:44 28,672 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MTransfer\1.7.79.0__d59a78cea23b0d7e\Nokia.MPlatform.MTransfer.dll
+ 2008-09-14 09:46:48 4,096 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.MPlatform.MVersion\1.0.0.0__d59a78cea23b0d7e\Nokia.MPlatform.MVersion.dll
+ 2008-09-14 09:46:45 348,160 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.NLibNET\3.0.256.0__95f6d4858af0e2b1\Nokia.NLibNET.dll
+ 2008-09-14 09:46:45 4,096 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.NNPCS.NSUpdate\3.0.256.0__95f6d4858af0e2b1\Nokia.NNPCS.NSUpdate.dll
+ 2008-09-14 09:46:45 73,728 ----a-w C:\WINDOWS\assembly\GAC_32\Nokia.NNPCS.UpdateLib\3.0.256.0__95f6d4858af0e2b1\Nokia.NNPCS.UpdateLib.dll
+ 2008-09-14 09:46:44 161,192 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Practices.EnterpriseLibrary.Common\3.1.0.0__b03f5f7f11d50a3a\Microsoft.Practices.EnterpriseLibrary.Common.dll
+ 2008-09-14 09:46:45 38,312 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.Logging\3.1.0.0__b03f5f7f11d50a3a\Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.Logging.dll
+ 2008-09-14 09:46:45 79,272 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Practices.EnterpriseLibrary.ExceptionHandling\3.1.0.0__b03f5f7f11d50a3a\Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.dll
+ 2008-09-14 09:46:45 218,536 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Practices.EnterpriseLibrary.Logging\3.1.0.0__b03f5f7f11d50a3a\Microsoft.Practices.EnterpriseLibrary.Logging.dll
+ 2008-09-14 09:46:45 64,352 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Practices.ObjectBuilder\1.0.51206.0__b03f5f7f11d50a3a\Microsoft.Practices.ObjectBuilder.dll
+ 2008-09-14 09:46:59 69,632 ----a-r C:\WINDOWS\Installer\{b9ab898b-8a1d-46fe-bc15-4c5e80747c1e}\ARPPRODUCTICON.exe
+ 2008-09-14 09:46:59 69,632 ----a-r C:\WINDOWS\Installer\{b9ab898b-8a1d-46fe-bc15-4c5e80747c1e}\NewShortcut2_8AD8B45EA8E342398C8023822EDFD6EF.exe
+ 2008-09-14 09:46:59 69,632 ----a-r C:\WINDOWS\Installer\{b9ab898b-8a1d-46fe-bc15-4c5e80747c1e}\NewShortcut211_FACC3AB83BAE43B48889C252A3BAA528.exe
+ 2008-09-14 09:46:59 69,632 ----a-r C:\WINDOWS\Installer\{b9ab898b-8a1d-46fe-bc15-4c5e80747c1e}\NewShortcut212_CD940B804F7E4FB6B97EA7E8F6400EB1.exe
- 2002-09-07 08:21:14 84,026 ----a-w C:\WINDOWS\system32\perfc005.dat
+ 2008-09-14 09:47:12 87,320 ----a-w C:\WINDOWS\system32\perfc005.dat
- 2002-09-07 08:21:14 72,288 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-09-14 09:47:12 75,582 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2002-09-07 08:21:14 441,542 ----a-w C:\WINDOWS\system32\perfh005.dat
+ 2008-09-14 09:47:12 449,706 ----a-w C:\WINDOWS\system32\perfh005.dat
- 2002-09-07 08:21:14 444,664 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-09-14 09:47:12 452,828 ----a-w C:\WINDOWS\system32\perfh009.dat
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8DD9F5F4-A7E4-47F5-9E26-1188B8C06340}]
2002-09-13 10:03 253440 --a------ C:\WINDOWS\system32\rqRJDuUK.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"CTSysVol"="C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 2512392]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"Nokia FastStart"="C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" [2008-06-29 2327776]
"P17Helper"="P17.dll" [2005-05-03 C:\WINDOWS\system32\P17.DLL]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-05-16 14:01 13529088 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Hamachi\\hamachi.exe"=
"D:\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"D:\\IW FTPort Client\\Cftp32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\ONENOTE.EXE"=
"D:\\uTorrent\\utorrent.exe"=
"F:\\UT2004\\System\\UT2004.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-06-08 141312]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;C:\WINDOWS\system32\DRIVERS\Amps2prt.sys [2006-01-11 13824]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2008-04-13 69120]
R3 tenCapture;tenCapture;C:\WINDOWS\system32\DRIVERS\tenCapture.sys [2007-04-21 9344]
S0 OCDE;ZTekWare Original CD Emulator Service;C:\WINDOWS\system32\Drivers\OCDE.sys [ ]
S3 cem56;Xircom CreditCard 10/100 + Modem 56 Network;C:\WINDOWS\system32\DRIVERS\CEM56n5.sys [2001-10-24 49182]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\screamingbdriver.sys [2005-11-21 13824]
S3 SQTECH930B;Trust WB-3500T USB2 Webcam;C:\WINDOWS\system32\Drivers\Capt930b.sys [2005-04-21 273982]
S4 NMSAccessU;NMSAccessU;D:\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{118f7ed0-9209-11dc-ade6-001a92159d7d}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(0)\command - Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{881b7f8a-fce1-11db-ab63-806d6172696f}]
\Shell\AutoRun\command - G:\setup.exe
\Shell\dinstall\command - G:\Quake3\directx7\dxsetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2003d26-00b1-11dc-ab82-001a92159d7d}]
\Shell\AutoRun\command - H:\level.exe
\Shell\dxsetup\command - directx\dxsetup.exe
\Shell\level\command - H:\level.exe
\Shell\setup\command - H:\setup.exe
.
Obsah adresáře 'Naplánované úlohy'
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

BHO-{56CE86CC-B2FD-4CA3-82A9-FCDDD7E61CB9} - C:\WINDOWS\system32\afayxygt.dll
BHO-{667AB1ED-46B6-4B7D-868B-F5EE280485B0} - C:\Documents and Settings\Jarek\Local Settings\Temporary Internet Files\Content.IE5\HZXT748K\silent.dll[1].bak
HKLM-Run-BM0fea73f2 - C:\WINDOWS\system32\ulsyqjtn.dll



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 13:27:28
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SoftwareDistribution\Download\6390553d2872bfafdd85fd0759cec387\update\update.exe
.
**************************************************************************
.
Celkový čas: 2008-09-14 13:29:30 - počítač byl restartován [Jarek]
ComboFix-quarantined-files.txt 2008-09-14 11:29:25
ComboFix2.txt 2008-09-13 10:32:43

P°ed spuÜtýnÝm: 1,439,248,384
Po spuÜtýnÝ: 1,410,752,512

188 --- E O F --- 2008-08-28 13:20:10


Log z Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:00, on 14.9.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\oodtray.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {8DD9F5F4-A7E4-47F5-9E26-1188B8C06340} - C:\WINDOWS\system32\rqRJDuUK.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C72B01-DCAC-40CA-ABC3-CD6214DFABA9}: NameServer = 62.129.50.20,62.129.32.100
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 3683 bytes

Pokud jsi měl k tomuto Pc připojenou v nedávné době výměnné zařízení typu fleška/USB klíčenka...tak ho připoj a použij toto:

Stáhni tento program: Flash Disinfector (by sUBs)
- připoj k Pc tu flešku.
- Spusť Flash Disinfector a počkej až tě program bude informovat o ukončení své činnosti.
- po té můžeš výměnné zařízení odpojit.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Stáhni si Avenger (by Swandog46) a spusť ho pod účtem administrátora.
- objeví se ti hláška kterou odklikni přes Ok
Vlož si tam tento celý skript označený zeleně:
Files to delete:
C:\WINDOWS\system32\rqRJDuUK.dll
C:\WINDOWS\system32\qjbuxlcq.ini
C:\WINDOWS\system32\yfidplxc.ini

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8DD9F5F4-A7E4-47F5-9E26-1188B8C06340}
- označ si celý skript a zkopíruj do schránky
- pak si ho vlož do avengeru přes toto tlačítko
- skrip se ti vloží do prázdného okna pod nadpisem: Input script here:
- pak klikni na tlačítko Execute
Budeš dotázán na to jestli chceš provést skript tak zvol Ano
- po proběhnutí prvního kroku budeš dotázán na na restart počítače tak zvol znovu Ano

Vlož sem pak log z Avengeru

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Pak dej Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fixp.reg
Uložit jako typ: tak tam vyber Všechny soubory
Ulož si daný soubor na plochu
Na ploše by se měl objevit soubor fixp.reg
- spusť ho vyskočí hláška kde odklikni Ano poté je další hláška kde odklikni OK

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Pak si zapni zpět rezidentní štít u Spyware Terminátora. Chtělo by to aby sis doinstaloval antivir a také pro lepší zabezpečení i firewall. Přehled osobních firewallů

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Doporučil bych ti aktualizovat Javu, ale to až po tom jak dopadne log:
- Stáhni si poslední verzi Java Runtime Environment (JRE) 6 Update 7
- Posuň se dolů kde je napsáno Java Runtime Environment (JRE) 6 Update 7 a klikni na tlačítko Download
- Načte se ti nová stránka
- Pod nadpisem Select Platform and Language for your download:
* u položky Platform: vyber OS který používáš
* zatrhni možnost kde je napsáno: I agree to the Java SE Runtime Environment 6 License Agreement
* klikni na tlačítko Continue >>
- Načte se ti nová stránka
- Klikni na odkaz pro stažení pod položkou: Windows Offline Installation

a ulož si ho na disk

- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:

J2SE Runtime Environment 5.0
J2SE Runtime Environment 5.0 Update 8
Java 2 Runtime Environment, SE v1.4.2

- Odinstaluj je přes tlačítko Změnit nebo odebrat nebo Odebrat
- Odinstaluj postupně po sobě případné všechny staré verze Javy
- Po skončení odinstalovaní restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u7-windows-i586-p.exe, který sis stáhl na začátku

Log z Avengeru:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\rqRJDuUK.dll" deleted successfully.
File "C:\WINDOWS\system32\qjbuxlcq.ini" deleted successfully.
File "C:\WINDOWS\system32\yfidplxc.ini" deleted successfully.

Error: registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8DD9F5F4-A7E4-47F5-9E26-1188B8C06340}" not found!
Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8DD9F5F4-A7E4-47F5-9E26-1188B8C06340}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Java aktuální verze nainstalována, Spyware Terminator rezidentní štít je zapnutý, podívám se po nějaké firewall a nainstaluju.

Ještě takový dotaz, internet běží v pohodě, ale když chci vyhledat něco ve vyhledavači, tak je to strašně dlouhá doba a stránka sice vypadá, že pracuje, ale nejsou tam žádné změny ani po 10 minutách. Zkoušel jsem jiné prohlížeče (Operu) najel na google.cz zkusil něco vyhledat a ten samý problém, jako by se to po stisknutí tlačítka Hledej, celé nějak seklo .

Jinak používám Mozillu Firefox aktu. verzi.

Zkus poslat nový log z Combofix.

Nový log z ComboFixu:


ComboFix 08-09-14.06 - Jarek 2008-09-15 15:58:58.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.1126 [GMT 2:00]
Spuštěný z: C:\Documents and Settings\Jarek\Plocha\ComboFix.exe
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM0fea73f2.txt
C:\WINDOWS\BM0fea73f2.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\KUuDJRqr.ini
C:\WINDOWS\system32\KUuDJRqr.ini2
C:\WINDOWS\system32\qfywuwmn.dll
C:\WINDOWS\system32\xhbxuwec.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2008-08-15 do 2008-09-15 )))))))))))))))))))))))))))))))
.

2008-09-14 20:02 . 2008-09-14 20:02 <DIR> d-------- C:\Program Files\Sun
2008-09-14 20:02 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-14 20:00 . 2008-09-14 20:02 <DIR> d-------- C:\Program Files\Java
2008-09-14 20:00 . 2008-09-14 20:00 <DIR> d-------- C:\Program Files\Common Files\Java
2008-09-14 14:50 . 2008-09-15 15:53 1,121,704 ---hs---- C:\WINDOWS\system32\nmwuwyfq.ini
2008-09-14 12:47 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Opera
2008-09-14 12:47 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Opera
2008-09-14 12:47 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Opera
2008-09-14 11:47 . 2008-09-14 11:47 <DIR> d-------- C:\WINDOWS\Globalization
2008-08-28 19:45 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Canneverbe_Limited
2008-08-28 19:45 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Canneverbe_Limited
2008-08-28 19:45 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\Canneverbe_Limited
2008-08-28 17:34 . 2008-08-28 17:34 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-08-27 19:31 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\JAlbum
2008-08-27 19:31 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\JAlbum
2008-08-27 19:31 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\JAlbum
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\system32\cs
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-27 10:42 . 2008-08-27 10:42 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-27 10:40 . 2008-08-27 10:40 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-26 09:33 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-23 12:01 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\uTorrent
2008-08-23 12:01 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\uTorrent
2008-08-23 12:01 . <DIR> C:\Documents and Settings\Jarek\Data aplikací\uTorrent
2008-08-15 08:34 . 2008-04-11 21:06 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 13:58 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Spyware Terminator
2008-09-15 13:58 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Spyware Terminator
2008-09-15 13:58 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Spyware Terminator
2008-09-15 13:53 --------- d-----w C:\Program Files\WinClamAVShield
2008-09-14 16:05 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-14 09:46 --------- d-----w C:\Program Files\Nokia
2008-09-14 09:46 --------- d-----w C:\Program Files\Common Files\Nokia
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Zoner
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Zoner
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Zoner
2008-09-02 17:48 --------- d-----w C:\Program Files\Common Files\EZB Systems
2008-08-30 21:14 --------- d-s---w C:\Documents and Settings\Jarek\Data aplikací\Microsoft
2008-08-30 21:14 --------- d-s---w C:\Documents and Settings\Jarek\Data aplikací\Microsoft
2008-08-30 21:14 --------- d-s---w C:\Documents and Settings\Jarek\Data aplikací\Microsoft
2008-08-30 21:10 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Silver Style Entertainment
2008-08-30 21:10 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Silver Style Entertainment
2008-08-30 21:10 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Silver Style Entertainment
2008-08-29 09:04 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-08-26 10:54 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Mozilla
2008-08-26 10:54 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Mozilla
2008-08-26 10:54 --------- d-----w C:\Documents and Settings\Jarek\Data aplikací\Mozilla
2007-10-20 18:33 3 -c--a-w C:\Documents and Settings\Jarek\BBCONFIG.DAT
1999-04-23 22:22 12 -csh--w C:\WINDOWS\system\WININETICMP32.drv
.

((((((((((((((((((((((((((((( snapshot_2008-09-14_13.29.11.68 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-10-26 19:32:42 604,000 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\ONBTTNIE.DLL
+ 2006-10-27 14:03:04 1,018,664 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\ONENOTE.EXE
+ 2006-10-26 19:24:54 98,632 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\ONENOTEM.EXE
+ 2006-10-26 19:24:50 72,504 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\ONFILTER.DLL
+ 2006-10-26 19:24:58 1,165,112 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\ONLIBS.DLL
+ 2006-10-27 14:03:06 6,579,512 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\ONMAIN.DLL
- 2008-08-15 13:17:58 1,165,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe
+ 2008-09-14 11:29:56 1,165,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe
- 2008-08-15 13:17:58 20,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
+ 2008-09-14 11:29:56 20,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
- 2008-08-15 13:17:58 159,504 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe
+ 2008-09-14 11:29:56 159,504 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe
- 2008-08-15 13:17:58 184,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe
+ 2008-09-14 11:29:56 184,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe
- 2008-08-15 13:17:58 217,864 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe
+ 2008-09-14 11:29:56 217,864 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe
- 2008-08-15 13:17:58 18,704 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
+ 2008-09-14 11:29:56 18,704 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
- 2008-08-15 13:17:58 35,088 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
+ 2008-09-14 11:29:56 35,088 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
- 2008-08-15 13:17:58 845,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe
+ 2008-09-14 11:29:56 845,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe
- 2008-08-15 13:17:58 922,384 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe
+ 2008-09-14 11:29:56 922,384 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe
- 2008-08-15 13:17:58 272,648 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe
+ 2008-09-14 11:29:56 272,648 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe
- 2008-08-15 13:17:58 888,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
+ 2008-09-14 11:29:56 888,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
- 2008-08-15 13:17:58 1,172,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
+ 2008-09-14 11:29:56 1,172,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
- 2007-09-24 20:30:28 135,168 -c--a-w C:\WINDOWS\system32\java.exe
+ 2008-06-09 23:21:01 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-09-24 20:30:30 135,168 -c--a-w C:\WINDOWS\system32\javaw.exe
+ 2008-06-09 23:21:04 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2007-09-24 21:31:42 139,264 -c--a-w C:\WINDOWS\system32\javaws.exe
+ 2008-06-10 00:32:34 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
- 2008-08-05 09:11:02 15,888,504 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-08-26 20:28:12 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe
- 2006-10-18 19:47:20 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
+ 2008-06-24 16:12:58 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
+ 2008-04-15 17:51:49 1,724,416 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\GdiPlus.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"CTSysVol"="C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 2512392]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"Nokia FastStart"="C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" [2008-06-29 2327776]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"BM0fea73f2"="C:\WINDOWS\system32\xhbxuwec.dll" [BU]
"P17Helper"="P17.dll" [2005-05-03 C:\WINDOWS\system32\P17.DLL]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-05-16 14:01 13529088 C:\WINDOWS\system32\nvcpl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Hamachi\\hamachi.exe"=
"D:\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"D:\\IW FTPort Client\\Cftp32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\ONENOTE.EXE"=
"D:\\uTorrent\\utorrent.exe"=
"F:\\UT2004\\System\\UT2004.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-06-08 141312]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;C:\WINDOWS\system32\DRIVERS\Amps2prt.sys [2006-01-11 13824]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2008-04-13 69120]
R3 tenCapture;tenCapture;C:\WINDOWS\system32\DRIVERS\tenCapture.sys [2007-04-21 9344]
S0 OCDE;ZTekWare Original CD Emulator Service;C:\WINDOWS\system32\Drivers\OCDE.sys [ ]
S3 cem56;Xircom CreditCard 10/100 + Modem 56 Network;C:\WINDOWS\system32\DRIVERS\CEM56n5.sys [2001-10-24 49182]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\screamingbdriver.sys [2005-11-21 13824]
S3 SQTECH930B;Trust WB-3500T USB2 Webcam;C:\WINDOWS\system32\Drivers\Capt930b.sys [2005-04-21 273982]
S4 NMSAccessU;NMSAccessU;D:\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{881b7f8a-fce1-11db-ab63-806d6172696f}]
\Shell\AutoRun\command - G:\setup.exe
\Shell\dinstall\command - G:\Quake3\directx7\dxsetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2003d26-00b1-11dc-ab82-001a92159d7d}]
\Shell\AutoRun\command - H:\level.exe
\Shell\dxsetup\command - directx\dxsetup.exe
\Shell\level\command - H:\level.exe
\Shell\setup\command - H:\setup.exe
.
Obsah adresáře 'Naplánované úlohy'
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

BHO-{92D5F1A2-4D24-492B-B9D9-610617E1EC88} - C:\WINDOWS\system32\rqRJDuUK.dll
HKLM-Run-0cd9406e - C:\WINDOWS\system32\qfywuwmn.dll


.
------- Doplňkový sken -------
.
O17 -: HKLM\CCS\Interface\{99C72B01-DCAC-40CA-ABC3-CD6214DFABA9}: NameServer = 62.129.50.20,62.129.32.100
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 16:01:48
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\msiexec.exe
.
**************************************************************************
.
Celkový čas: 2008-09-15 16:03:11 - počítač byl restartován
ComboFix-quarantined-files.txt 2008-09-15 14:03:06
ComboFix2.txt 2008-09-13 10:32:43

Před spuštěním: 1,307,537,408
Po spuštění: 1,565,782,016

210 --- E O F --- 2008-09-14 11:30:54

Po projetí ComboFixu se to nějak záhadně vyléčilo, já poslal ten log viz výše a nezkontroloval, jestli vyhledávání v prohlížeči už jede a je to ok, moc díky za pomoc, snad se problém vyřešil, a nezbyly tu "zbytky" viru, při najetí Windows se mi tam hodí nějaká hláška o jednom procesu v systemu32, že nemohl byt načten jeden soubor, jen to odkliknu a pohoda. Ještě jednou moc díky.

Fredik tu proteď není - pokud ti to nevadí, uzavřu to s tebou budu já

Během provádění těchto kroků vypni znovu rezidentní štít Spyware Terminatoru.

1) Spusť Příkazový řádek přes Start - Programy - Příslušenství a zkopíruj do něj postupně po jednom tyto příkazy a mezi sebou je potvrď:

del /a /f /q "C:\WINDOWS\system32\nmwuwyfq.ini"

reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "BM0fea73f2" /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v "EnableFirewall" /t REG_DWORD /d 1 /f

2) Jdi přes Start - Spustit a do volného řádku zkopíruj tento příkaz a potvrď: ComboFix /u - tohle odinstaluje ComboFix a smaže zálohu Avengeru.

Restartuj počítač - ta hláška o chybějícím souboru by pak měla zmizet. Pokud přetrvá, vlož sem nový log z HijackThis.