PC-HELP.CZ

Prosim o reseni k odstraneni kritickych objektu (log z MWAV). Díky za pomoc.

Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "NULLBYTE Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "cybersitter Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "holistyc Dialer" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Soubor D:\System Volume Information\_restore{F19CC674-715D-4C8A-BFE6-1075A9A78EF2}\RP100\A0036559.exe je infikovaný virem NULL.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.
Soubor D:\System Volume Information\_restore{F19CC674-715D-4C8A-BFE6-1075A9A78EF2}\RP100\A0036560.exe je infikovaný virem NULL.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.

MWAV neřekne nic o systému..nákazy tam jsou.
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Update Malwarebytes' Anti-Malware (Aktualizace Malwarebytes' Anti-Malware) a Launch Malwarebytes' Anti-Malware (Spustit aplikaci Malwarebytes' Anti-Malware), pokud jo tak klikni na tlačítko Finish
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Perform Quick Scan (Provést rychlý sken) a klikni na tlačítko Scan (Skenovat)
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- pak zvol možnost Save Logfile a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

Malwarebytes' Anti-Malware 1.30
Verze databáze: 1409
Windows 5.1.2600 Service Pack 3

18.11.2008 19:00:42
mbam-log-2008-11-18 (19-00-34).txt

Typ skenu: Rychlý sken
Objektu skenováno: 48218
Uplynulý cas: 9 minute(s), 34 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 4

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> No action taken.

Soubory patří k MWAVU.
. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log + log z HJT.
viewtopic.php?f=70&t=5119

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:08, on 18.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\oodtray.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\ADSL\ADSL USB MODEM\dslmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKLM\..\Policies\Explorer\Run: [ati2sgav] "C:\WINDOWS\system32\ati2sgav.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1337220-07BC-4206-84C8-ABE2D0984D75}: NameServer = 194.228.41.65 194.228.41.113
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 5468 bytes

Malwarebytes' Anti-Malware 1.30
Verze databáze: 1409
Windows 5.1.2600 Service Pack 3

18.11.2008 19:15:12
mbam-log-2008-11-18 (19-15-12).txt

Typ skenu: Rychlý sken
Objektu skenováno: 48218
Uplynulý cas: 9 minute(s), 34 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 4

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot.

Stáhni si SDFix
- Spusť ho a rozbalí se ti na disk kde je nainstalovaný Windows (typicky to je C:\SDfix)
- Pak restartuj PC do nouzového režimu (zvol možnost: Stav nouze, ne Stav nouze s práci v síti)
- Otevři adresář kde je vybalený SDFix a spusť soubor RunThis.bat tím spustíš program.
* Pak stiskni klávesu Y a pak Enter pro zahájení čistícího procesu.
* Pro dokončení kontroly budeš vyzván ke stisknutí libovolné klávesy a počítač se restartuje.
* Při nabíhání operačního systému se program spustí znovu a dokončí čistící proces. Až se objeví Finish, budeš muset po vyzvání stisknout libovolnou klávesu, tim se ukončí program a zobrazí se ti ikony na ploše
- Když se skončí načítání ikon na ploše, otevře se ti na obrazovce log z SDFix a zároveň ho uloží do adresáře kde je rozbalený SDFix jako soubor Report.txt
Pak sem zkopíruj jeho obsah + mrkni se jestli ti pod Startem nechybí nějaké ikony, zobrazují se ti disky pod Tento počítač....
Přečti si co mám v podpise.

SDFix: Version 1.240
Run by liRik on Łt 18.11.2008 at 20:03

Microsoft Windows XP [Verze 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-18 20:11:59
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:f0,35,4b,e3,49,c5,86,23,09,5a,9d,60,47,2f,0a,4b,53,f8,59,05,1a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:6c,25,3c,26,5c,da,7c,33,24,1a,30,ae,28,0a,48,70,78,34,38,b3,9d,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:80,2d,c8,df,6a,1a,b9,3f,7d,5c,e4,34,25,5a,37,27,0a,4f,36,7f,f3,..
"a0"=hex:20,01,00,00,68,6d,fd,cf,48,c5,8a,af,a8,a8,ac,89,0c,42,53,63,6e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:89,9c,d3,d5,d5,37,4e,0c,84,24,84,f2,ac,b9,37,8f,33,2d,4e,6a,10,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:f0,35,4b,e3,49,c5,86,23,09,5a,9d,60,47,2f,0a,4b,53,f8,59,05,1a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:6c,25,3c,26,5c,da,7c,33,24,1a,30,ae,28,0a,48,70,78,34,38,b3,9d,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:80,2d,c8,df,6a,1a,b9,3f,7d,5c,e4,34,25,5a,37,27,0a,4f,36,7f,f3,..
"a0"=hex:20,01,00,00,68,6d,fd,cf,48,c5,8a,af,a8,a8,ac,89,0c,42,53,63,6e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:89,9c,d3,d5,d5,37,4e,0c,84,24,84,f2,ac,b9,37,8f,33,2d,4e,6a,10,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?v?e?l?k?é?)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?n?e?j?v?\e\1t?a\1í?)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
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
"OODEFRAG11.00.00.01WORKSTATION"="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"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts]
"nigma Scrawl (BRK) (TrueType)"="aescrawl.ttf"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Program Files\\QIP\\qip.exe"="C:\\Program Files\\QIP\\qip.exe:*:Enabled:Quiet Internet Pager"
"D:\\Program Files\\Counter-Strike 1.5\\hl.exe"="D:\\Program Files\\Counter-Strike 1.5\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Hamachi\\hamachi.exe"="C:\\Program Files\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:uTorrent"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :



Files with Hidden Attributes :

Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Tue 21 Oct 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 12 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\61f7d5de6024ca5f0df8e4d6b84147bc\BIT6.tmp"

Finished!

Najdi smaž: C:\SDFix
Vypni rez. ochranu u ESS.

Stáhni si ComboFix (by sUBs)

a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

ComboFix 08-11-18.02 - liRik 2008-11-18 20:46:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1029.18.49 [GMT 1:00]
Spuštěný z: C:\ComboFix.exe
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system\msvbvm60.dll
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((((( Soubory vytvořené od 2008-10-18 do 2008-11-18 )))))))))))))))))))))))))))))))
.

2008-11-18 20:31 . 2008-11-18 20:33 3,968,900 -ra------ C:\ComboFix.exe
2008-11-18 20:02 . 2008-11-18 20:02 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-18 19:59 . 2008-11-18 20:00 <DIR> d-------- c:\windows\ERUNT
2008-11-18 19:53 . 2008-11-18 19:53 1,529,241 --a------ C:\SDFix.exe
2008-11-18 19:33 . 2008-11-18 19:33 <DIR> d-------- c:\program files\Trend Micro
2008-11-18 19:33 . 2008-11-18 19:33 812,344 --a------ C:\HJTInstall.exe
2008-11-18 18:49 . 2008-11-18 18:49 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-18 18:49 . 2008-11-18 18:49 <DIR> d-------- c:\documents and settings\liRik\Data aplikací\Malwarebytes
2008-11-18 18:49 . 2008-11-18 18:49 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2008-11-18 18:49 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-18 18:49 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-18 18:47 . 2008-11-18 18:47 2,372,472 --a------ C:\mbam-setup.exe
2008-11-18 16:21 . 2008-11-18 16:21 <DIR> d-a------ c:\windows\zts2.exe
2008-11-18 16:21 . 2008-11-18 16:21 <DIR> d-a------ c:\windows\system32\iifgfgf.dll
2008-11-18 16:21 . 2008-11-18 16:21 <DIR> d-a------ c:\windows\rundl132.dll
2008-11-18 16:19 . 2008-11-18 16:35 54 --a------ c:\windows\Lic.xxx
2008-11-18 16:18 . 2008-11-18 16:18 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MicroWorld
2008-11-18 16:18 . 2008-11-18 16:18 626,688 --a------ c:\windows\system32\msvcr80.dll
2008-11-18 16:18 . 2008-11-18 16:18 548,864 --a------ c:\windows\system32\msvcp80.dll
2008-11-18 16:18 . 2008-04-14 07:52 147,968 --a------ c:\windows\R.COM
2008-11-18 16:18 . 2008-04-14 07:52 137,216 --a------ c:\windows\system32\T.COM
2008-11-18 16:18 . 2008-11-18 16:18 28,672 --a------ c:\windows\system32\eEmpty.exe
2008-11-18 16:18 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2008-11-18 15:32 . 2008-11-18 15:42 45,561,232 --a------ C:\mwav.exe
2008-11-16 21:09 . 2008-11-16 21:09 119 --a------ c:\windows\MP3OGGC.ini
2008-11-16 21:07 . 2008-11-16 21:07 3,082 --a------ c:\windows\system32\affv14575p15now.sys
2008-11-16 20:47 . 2008-11-16 20:58 96 --a------ c:\windows\mp3wavcon.ini
2008-11-16 20:45 . 2003-12-15 12:43 1,871,872 --a------ c:\windows\system32\NCTAudioFile2.dll
2008-11-16 20:45 . 2003-12-08 12:19 425,984 --a------ c:\windows\system32\NCTAudioTransform2.dll
2008-11-16 20:45 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2008-11-16 20:45 . 2004-12-01 14:43 315,392 --a------ c:\windows\system32\NCTAudioPlayer2.dll
2008-11-16 20:45 . 2003-08-07 14:01 237,568 --a------ c:\windows\system32\lame_enc.dll
2008-11-16 20:45 . 2008-11-16 21:09 5 --a------ c:\windows\system32\SySMP3OC.dat
2008-11-16 15:38 . 2008-11-16 16:04 84,087,242 --a------ C:\Kelly_Rowland_feat_Trina_-_Here_we_go.avi
2008-11-16 11:50 . 2002-08-29 18:33 319,488 -ra------ c:\windows\system32\MafiaSetup.exe
2008-11-13 15:10 . 2008-11-13 15:10 <DIR> d-------- c:\program files\Total Uninstall 4
2008-11-13 15:10 . 2008-11-13 15:10 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Martau
2008-11-12 14:16 . 2008-09-04 18:17 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 14:16 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-08 16:24 . 2003-05-23 13:28 1,060,864 --a------ c:\windows\system32\mfc71.dll
2008-11-08 15:54 . 2008-11-08 15:54 <DIR> d-------- c:\windows\mp2_screensaver_1600x1200 dir
2008-11-08 15:54 . 2008-11-08 15:54 12,288 --a------ c:\windows\impborl.dll
2008-11-08 09:13 . 2008-11-08 09:13 <DIR> d-------- c:\documents and settings\liRik\Data aplikací\ESET
2008-11-08 09:10 . 2008-11-08 09:10 <DIR> d-------- c:\program files\ESET
2008-11-08 09:10 . 2008-11-08 09:10 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\ESET
2008-10-25 00:32 . 2008-11-17 16:27 <DIR> d-------- c:\documents and settings\liRik\Data aplikací\FileZilla
2008-10-23 18:12 . 2008-10-15 17:38 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-23 17:56 . 2008-10-23 17:56 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\vsosdk
2008-10-21 21:06 . 2008-10-21 21:06 <DIR> d--hs---- C:\found.000

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-18 15:15 --------- d-----w c:\documents and settings\liRik\Data aplikací\uTorrent
2008-11-18 15:08 --------- d-----w c:\program files\PeerGuardian2
2008-11-17 15:30 --------- d-----w c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2008-11-17 15:07 --------- d-----w c:\documents and settings\liRik\Data aplikací\gtk-2.0
2008-11-15 14:45 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-15 13:49 --------- d-----w c:\program files\Common Files\InstallShield
2008-11-14 13:08 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-11-12 21:38 --------- d-----w c:\documents and settings\All Users\Data aplikací\Microsoft Help
2008-11-08 19:11 --------- d-----w c:\documents and settings\liRik\Data aplikací\SUPERAntiSpyware.com
2008-11-08 17:10 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-02 17:13 --------- d-----w c:\program files\RocketDock
2008-11-02 16:14 --------- d-----w c:\program files\QIP Infium
2008-11-02 12:56 --------- d-----w c:\program files\Windows Media Connect 2
2008-11-01 17:57 --------- d-----w c:\documents and settings\liRik\Data aplikací\Zoner
2008-11-01 17:52 --------- d-----w c:\program files\Zoner
2008-11-01 09:22 --------- d-----w c:\program files\Reference Assemblies
2008-11-01 09:09 --------- d-----w c:\program files\DAEMON Tools Lite
2008-10-30 12:43 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-10-30 12:43 --------- d-----w c:\program files\Java
2008-10-30 12:19 --------- d-----w c:\program files\Opera
2008-10-28 17:55 239,863 ----a-w c:\windows\system32\ati2sgav.exe
2008-10-25 21:49 --------- d-----w c:\program files\Codec Pack - All In 1
2008-10-25 21:48 737,280 ----a-w c:\windows\iun6002.exe
2008-10-24 23:32 --------- d-----w c:\program files\FileZilla FTP Client
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 05:22 --------- d-----w c:\program files\MagicISO
2008-10-23 17:17 --------- d-----w c:\program files\DVDFab 5
2008-10-19 17:06 --------- d-----w c:\documents and settings\liRik\Data aplikací\Skype
2008-10-19 16:42 --------- d-----w c:\documents and settings\liRik\Data aplikací\skypePM
2008-10-18 07:23 505,128 ----a-w c:\windows\system32\msvcp71.dll
2008-10-18 07:23 353,576 ----a-w c:\windows\system32\msvcr71.dll
2008-10-18 07:23 29,480 ----a-w c:\windows\system32\msxml3a.dll
2008-10-18 06:46 --------- d---a-w c:\documents and settings\All Users\Data aplikací\TEMP
2008-10-15 21:05 --------- d-----w c:\program files\MSXML 4.0
2008-10-15 12:20 --------- d-----w c:\documents and settings\All Users\Data aplikací\LightScribe
2008-10-14 20:59 --------- d-----w c:\program files\PSPad editor
2008-10-14 15:50 --------- d-----w c:\documents and settings\liRik\Data aplikací\Nero
2008-10-14 15:47 --------- d-----w c:\program files\Common Files\Nero
2008-10-14 15:40 --------- d-----w c:\program files\Nero
2008-10-14 15:35 --------- d-----w c:\documents and settings\All Users\Data aplikací\Nero
2008-10-14 15:34 --------- d-----w c:\program files\Common Files\LightScribe
2008-10-12 09:31 --------- d-----w c:\program files\Common Files\Adobe
2008-10-11 22:25 --------- d-----w c:\documents and settings\All Users\Data aplikací\IsolatedStorage
2008-10-11 15:47 --------- d-----w c:\program files\Common Files\wsm
2008-10-08 19:17 --------- d-----w c:\program files\uTorrent
2008-10-03 22:17 --------- d-----w c:\program files\GIMP-2.0
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-29 21:01 --------- d-----w c:\program files\Miranda IM
2008-09-29 15:28 --------- d-----w c:\program files\Mozilla Thunderbird
2008-09-20 11:58 --------- d-----w c:\program files\Total Commander 7.04
2008-09-20 08:38 --------- d-----w c:\program files\CCleaner
2008-09-20 06:54 --------- d-----w c:\program files\Internet Cell Boost
2008-09-19 21:59 2,560 ----a-w c:\windows\_MSRSTRT.EXE
2008-09-18 22:07 --------- d-----w c:\program files\OO Software
2008-09-15 15:27 1,846,400 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:16 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:17 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-09-04 04:02 730,368 ----a-w c:\windows\system32\oodsvct.exe
2008-09-04 04:02 1,295,616 ----a-w c:\windows\system32\oodag.exe
2008-09-04 04:01 2,524,416 ----a-w c:\windows\system32\oodtray.exe
2008-09-04 04:01 194,816 ----a-w c:\windows\system32\oodbs.exe
2008-09-04 03:58 9,984 ----a-w c:\windows\system32\oodbsrs.dll
2008-09-04 03:58 894,208 ----a-w c:\windows\system32\oodtrrs.dll
2008-09-04 03:58 8,448 ----a-w c:\windows\system32\oodagrs.dll
2008-09-04 03:58 15,616 ----a-w c:\windows\system32\oodagmg.dll
2008-08-30 03:20 15,104 ----a-w c:\windows\system32\ootmapi.dll
2008-08-29 23:53 151,552 ----a-w c:\windows\system32\securenet.dll
2008-08-26 08:27 826,368 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2005-06-21 126976]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2008-09-04 2524416]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-06-10 1447168]
"SoundMan"="SOUNDMAN.EXE" [2004-03-10 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
DSLMON.lnk - c:\program files\ADSL\ADSL USB MODEM\dslmon.exe [2008-06-12 929889]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2008-06-09 09:16 2363392 c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\QIP\\qip.exe"=
"d:\\Program Files\\Counter-Strike 1.5\\hl.exe"=
"c:\\Program Files\\Hamachi\\hamachi.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=


*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Obsah adresáře 'Naplánované úlohy'

2008-11-18 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe []
.
.
------- Doplňkový sken -------
.
FireFox -: Profile - c:\documents and settings\liRik\Data aplikací\Mozilla\Firefox\Profiles\gzvh124a.default\
FF -: plugin - c:\documents and settings\liRik\Local Settings\Data aplikacĂ­\Google\Update\1.2.131.25\npGoogleOneClick6.dll
FF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - c:\program files\Opera\program\plugins\NPOFF12.DLL
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-18 20:49:17
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2008-11-18 20:58:07
ComboFix-quarantined-files.txt 2008-11-18 19:57:53

Před spuštěním: Volných bajtů: 21 295 673 344
Po spuštění: Volných bajtů: 21,283,540,992

202 --- E O F --- 2008-11-16 00:10:02

Toto otestuj na Virustotal
c:\windows\MP3OGGC.ini
Vlož sem výsledek.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

dal jsem to testovat na virustotal a nanelezlo to riziko nebezpeci ani v jednom pripade, jinak ComboFix se mi na 32. zastavi a dal nepracuje...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:01, on 2008-11-19
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\oodtray.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\ADSL\ADSL USB MODEM\dslmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\explorer.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1337220-07BC-4206-84C8-ABE2D0984D75}: NameServer = 194.228.41.65 194.228.41.113
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 5070 bytes