Prosím zkontrolujte můj log - DÍKY Vyřešeno

[otaznik]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:49, on 1.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programs\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programs\APC PowerChute Personal Edition\mainserv.exe
C:\Programs\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programs\Cobian Backup 8\Cobian.exe
C:\Programs\ESET Smart Security\egui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Programs\Secunia\PSI\psi.exe
C:\Programs\Xfire\xfire.exe
C:\Programs\Cobian Backup 8\cbInterface.exe
C:\Programs\APC PowerChute Personal Edition\apcsystray.exe
C:\Programs\totalcmd\TOTALCMD.EXE
C:\Programs\Mozilla Firefox\firefox.exe
C:\Programs\ICQ6.5\ICQ.exe
C:\Programs\Azureus\Azureus.exe
C:\Programs\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtstu.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programs\Acrobat 7\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {A0B21323-DADF-436F-BF8B-903554C8CF57} - C:\WINDOWS\system32\vtstu.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {EF0322D8-7519-4AA5-AEA2-5AAAE2679FB4} - (no file)
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Programs\Cobian Backup 8\Cobian.exe"
O4 - HKLM\..\Run: [egui] "C:\Programs\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programs\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\drtw32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - Startup: Secunia PSI.lnk = C:\Programs\Secunia\PSI\psi.exe
O4 - Startup: Xfire.lnk = C:\Programs\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programs\Acrobat 7\Reader\reader_sl.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programs\Ad-Aware 2007\aawservice.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programs\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programs\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programs\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6854 bytes

[Reklama]

[fredik]

Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna, vypni rezidentní ochranu u antiviru/antispyware a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Pokud budeš vyzván k nainstalování Konzole pro zotavení tak zvol Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
- Pak si rezidentní ochranu zapni zpět

[otaznik]

ComboFix 09-02-02.01 - otaznik 2009-02-02 19:47:32.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.3327.2891 [GMT 1:00]
Spuštěný z: c:\documents and settings\otaznik\Plocha\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: ESET personal firewall *enabled*
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\kvesftml.ini
c:\windows\system32\RCX10.tmp
c:\windows\system32\RCX11.tmp
c:\windows\system32\RCX12.tmp
c:\windows\system32\RCX13.tmp
c:\windows\system32\RCX14.tmp
c:\windows\system32\RCX15.tmp
c:\windows\system32\RCX16.tmp
c:\windows\system32\RCX17.tmp
c:\windows\system32\RCX18.tmp
c:\windows\system32\RCX19.tmp
c:\windows\system32\RCX1A.tmp
c:\windows\system32\RCX1B.tmp
c:\windows\system32\RCX1C.tmp
c:\windows\system32\RCX1D.tmp
c:\windows\system32\RCX1E.tmp
c:\windows\system32\RCX1F.tmp
c:\windows\system32\RCX20.tmp
c:\windows\system32\RCX21.tmp
c:\windows\system32\RCX22.tmp
c:\windows\system32\RCX23.tmp
c:\windows\system32\sirdxnkw.ini
c:\windows\system32\taskmgr.com
c:\windows\system32\urglymco.ini
c:\windows\system32\utstv.ini
c:\windows\system32\utstv.ini2

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE


((((((((((((((((((((((((( Soubory vytvořené od 2009-01-02 do 2009-02-02 )))))))))))))))))))))))))))))))
.

2009-02-01 09:49 . 2009-02-01 10:40 54 --a------ c:\windows\Lic.xxx
2009-02-01 09:48 . 2009-02-01 09:48 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MicroWorld
2009-02-01 09:48 . 2009-02-01 09:48 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-02-01 09:48 . 2009-02-01 09:48 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-02-01 09:48 . 2008-04-14 04:22 147,968 --a------ c:\windows\R.COM
2009-02-01 09:48 . 2008-04-14 04:22 137,216 --a------ c:\windows\system32\T.COM
2009-02-01 09:48 . 2009-02-01 09:48 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-02-01 09:48 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-01-28 22:36 . 2009-01-28 22:36 <DIR> d-------- c:\windows\system32\xlive
2009-01-28 20:18 . 2009-01-28 20:18 <DIR> d-------- c:\documents and settings\otaznik\Data aplikací\Malwarebytes
2009-01-28 20:18 . 2009-01-28 20:18 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-01-28 20:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-28 20:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d-------- c:\documents and settings\Administrator\Plocha
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d--h----- c:\documents and settings\Administrator\Okolní tiskárny
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d--h----- c:\documents and settings\Administrator\Okolní síť
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d-------- c:\documents and settings\Administrator\Oblíbené položky
2009-01-28 19:46 . 2007-12-06 21:02 <DIR> d--h----- c:\documents and settings\Administrator\Šablony
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> dr------- c:\documents and settings\Administrator\Nabídka Start
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d-------- c:\documents and settings\Administrator\Dokumenty
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> dr-h----- c:\documents and settings\Administrator\Data aplikací
2009-01-28 19:46 . 2009-01-28 19:46 <DIR> d-------- c:\documents and settings\Administrator
2009-01-28 19:18 . 2009-01-28 19:18 116,035 --a------ c:\windows\system32\drtw32.exe
2009-01-24 12:49 . 2009-01-24 12:49 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Apple Computer
2009-01-15 09:37 . 2009-01-15 09:37 42,320 --a------ c:\windows\system32\xfcodec.dll
2009-01-14 18:29 . 2009-01-14 18:29 127 --a------ c:\windows\system32\MRT.INI
2009-01-05 21:54 . 2002-12-29 01:14 81,920 --a------ c:\windows\system32\Startup.cpl
2009-01-05 19:47 . 2009-01-05 19:47 <DIR> d-------- c:\program files\Apple Software Update
2009-01-05 19:47 . 2009-01-05 19:47 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Apple
2009-01-05 19:39 . 2009-01-05 19:39 <DIR> d-------- c:\program files\OpenOffice.org 2.4
2009-01-05 16:18 . 2009-01-05 16:18 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx
2009-01-05 16:18 . 2009-01-05 16:18 57,344 --a------ c:\windows\system32\QuickTime.qts
2009-01-05 00:27 . 2009-01-05 00:27 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-04 20:08 . 2009-01-04 20:08 <DIR> d-------- c:\program files\TeaTimer (Spybot - Search & Destroy)
2009-01-04 20:08 . 2009-01-04 20:08 <DIR> d-------- c:\program files\SDHelper (Spybot - Search & Destroy)
2009-01-04 20:08 . 2009-01-04 20:08 <DIR> d-------- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2009-01-04 20:08 . 2009-01-04 20:08 <DIR> d-------- c:\program files\File Scanner Library (Spybot - Search & Destroy)
2009-01-04 19:26 . 2009-01-04 19:26 <DIR> d-------- c:\windows\system32\AGEIA
2009-01-04 19:26 . 2009-01-04 19:26 <DIR> d-------- c:\program files\AGEIA Technologies
2009-01-04 19:25 . 2008-11-13 16:20 203,540 --a------ c:\windows\system32\nvapps.nvb

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-02 18:28 --------- d-----w c:\documents and settings\otaznik\Data aplikací\Xfire
2009-02-01 23:00 --------- d-----w c:\documents and settings\otaznik\Data aplikací\Azureus
2009-01-31 10:20 --------- d-----w c:\documents and settings\otaznik\Data aplikací\gtk-2.0
2009-01-30 21:35 --------- d-----w c:\program files\Common Files\WebMoney Keeper
2009-01-21 20:46 --------- d-----w c:\documents and settings\otaznik\Data aplikací\OpenOffice.org2
2009-01-18 23:08 --------- d-----w c:\program files\Java
2009-01-11 09:17 --------- d-----w c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2009-01-04 18:25 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-12-15 19:59 --------- d-----w c:\program files\Microsoft Silverlight
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 21:10 150,567 ----a-w c:\windows\HAM Uninstaller.exe
2008-12-10 14:17 7,808 ----a-w c:\windows\system32\drivers\psi_mf.sys
2008-12-09 17:03 --------- d-----w c:\documents and settings\otaznik\Data aplikací\ICQ
2008-12-09 17:02 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-14 11:01 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008091420080915\index.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cobian Backup 8"="c:\programs\Cobian Backup 8\Cobian.exe" [2007-09-27 501248]
"egui"="c:\programs\ESET Smart Security\egui.exe" [2008-02-20 1443072]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-05 136600]
"QuickTime Task"="c:\programs\QuickTime\QTTask.exe" [2009-01-05 413696]
"CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE]
"nwiz"="nwiz.exe" [2008-11-12 c:\windows\system32\nwiz.exe]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Java Plug-in"="c:\windows\system32\drtw32.exe" [2009-01-28 116035]

c:\documents and settings\otaznik\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Secunia PSI.lnk - c:\programs\Secunia\PSI\psi.exe [2008-12-17 748840]
Xfire.lnk - c:\programs\Xfire\xfire.exe [2009-01-15 2993488]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\programs\Acrobat 7\Reader\reader_sl.exe [2005-09-24 29696]
APC UPS Status.lnk - c:\programs\APC PowerChute Personal Edition\Display.exe [2007-06-12 221247]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.ac3filter"= ac3filter.acm
"msacm.avis"= ff_acm.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Call of Duty 4\\iw3mp.exe"=
"c:\\Programs\\QIP\\qip.exe"=
"c:\\Programs\\Xfire\\xfire.exe"=
"c:\\Programs\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"e:\\Mass Effect\\Binaries\\MassEffect.exe"=
"e:\\Mass Effect\\MassEffectLauncher.exe"=
"c:\\Programs\\ICQ6.5\\ICQ.exe"=

R2 ekrn;Eset Service;c:\programs\ESET Smart Security\ekrn.exe [2008-02-20 472320]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2002-09-23 69120]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]
S3 aswArKrn;aswArKrn;\??\c:\docume~1\otaznik\LOCALS~1\Temp\aswArKrn.sys --> c:\docume~1\otaznik\LOCALS~1\Temp\aswArKrn.sys [?]
.
Obsah adresáře 'Naplánované úlohy'

2009-01-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

BHO-{A0B21323-DADF-436F-BF8B-903554C8CF57} - c:\windows\system32\vtstu.dll
BHO-{EF0322D8-7519-4AA5-AEA2-5AAAE2679FB4} - (no file)
HKCU-Run-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
HKCU-Run-CTFMON.EXE - c:\windows\system32\CTFMON.EXE
ShellExecuteHooks-{7A5565EF-A594-46E4-AF56-FE71AEAFD7D5} - (no file)


.
------- Doplňkový sken -------
.
uStart Page = about:blank
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\otaznik\Data aplikací\Mozilla\Firefox\Profiles\iu4ac7q3.default\
FF - plugin: c:\programs\Acrobat 7\Reader\browser\nppdf32.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin7.dll

---- NASTAVENÍ FIREFOXU ----
c:\programs\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-02 19:50:47
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1645522239-1801674531-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:14,ad,3d,9f,d3,0c,62,03,32,f5,cf,99,29,03,41,d1,3b,7a,4b,01,17,44,14,
4e,2b,ef,e3,31,1e,61,90,ab,63,3d,fd,eb,46,d4,9d,4c,7a,a3,ec,02,04,f9,43,fe,\
"??"=hex:5c,f1,83,89,34,2e,c3,29,75,49,0f,ac,fc,c3,b8,aa

[HKEY_USERS\S-1-5-21-1645522239-1801674531-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:ce,31,0d,3f,c8,19,8d,c8,6a,2a,31,25,df,07,c9,d4,b5,e5,8d,1e,1e,
87,51,7d,2e,01,81,d4,b3,71,8c,fd,45,3d,30,34,36,2c,b7,06,9f,fb,e9,43,2e,92,\
"rkeysecu"=hex:de,fd,da,8a,d5,55,5e,93,36,f5,72,bf,bf,77,d5,1c
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\programs\Ad-Aware 2007\aawservice.exe
c:\programs\APC PowerChute Personal Edition\mainserv.exe
c:\windows\system32\rundll32.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programs\Cobian Backup 8\cbInterface.exe
c:\programs\APC PowerChute Personal Edition\apcsystray.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2009-02-02 19:51:45 - počítač byl restartován [otaznik]
ComboFix-quarantined-files.txt 2009-02-02 18:51:43

Před spuštěním: 2,807,631,872
Po spuštění: 2,835,845,120

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
220 --- E O F --- 2009-01-14 17:30:06

[fredik]

Otestuj tento soubor na VirusTotal
c:\windows\system32\drtw32.exe
stačí jen zkopírovat na té stránce do toho prázdného okénka celou cestu a dát odeslat. Pak sem vlož výsledek.

Vlož sem pak také nový log z HJT

[otaznik]

VirusTotal píše toto:
0 bytes size received / Se ha recibido un archivo vacio
Zkoušel jsem se SSL i bez. Ten soubor má 116kB, nevím, proč se to nenahrálo. Zkoušel jsem namátkou i jiný exáč a ten prošel.

[otaznik]

A aktuální HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:57, on 2.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programs\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programs\Cobian Backup 8\Cobian.exe
C:\Programs\ESET Smart Security\egui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Programs\Secunia\PSI\psi.exe
C:\Programs\Xfire\xfire.exe
C:\Programs\Cobian Backup 8\cbInterface.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programs\APC PowerChute Personal Edition\mainserv.exe
C:\Programs\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programs\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programs\Mozilla Firefox\firefox.exe
C:\Programs\totalcmd\TOTALCMD.EXE
C:\Programs\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programs\Acrobat 7\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Programs\Cobian Backup 8\Cobian.exe"
O4 - HKLM\..\Run: [egui] "C:\Programs\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programs\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\drtw32.exe
O4 - Startup: Secunia PSI.lnk = C:\Programs\Secunia\PSI\psi.exe
O4 - Startup: Xfire.lnk = C:\Programs\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programs\Acrobat 7\Reader\reader_sl.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programs\Ad-Aware 2007\aawservice.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programs\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programs\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programs\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6097 bytes

[fredik]

Zkus použít SFP
Stáhni si Suspicious File Packer
Rozbal ho a spusť (soubor sfp.exe)
Do okna, které se ti zobrazí, zkopíruj a vlož tento tučně označený text:
C:\WINDOWS\system32\drtw32.exe
pak klikni na tlačítko Continue
Program se ti přepne do druhého okna Step2: Create archive
Zavři program.
Na ploše se ti vytvoří soubor requested-files[2007-07-30_HH_MM].cab (místo 2007-07-30 budeš mít aktuální datum a kde HH - hodina a MM minuty). Budeš pak muset u vytvořeného archivu přejmenovat příponu souboru z cab na zip nebo rar a pošli mi ho přes SZ jako přílohu. Zkus se mrknout do toho archivu, jestli tam daný soubor bude, pokud ne tak použij druhý postup s ComboFixem.


Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

Suspect::
C:\WINDOWS\system32\drtw32.exe

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna a vypni opět po dobu běhu ComboFixu rezidentní ochranu.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť

- Automaticky se spustí ComboFix

Na disku C se ti vytvoří adresář/složka pojmenovaná Qoobox a v ní bude další adresář Quarantine a v ní najdeš archiv v podobném tvaru [4]-Submit_2008-10-26@14.14.zip kde čísla za @ znamenají aktuální čas vytvoření souboru. Pošli mi ho jako přílohu přes SZ. Dík.

[fredik]

Dík za nahrání.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
C:\WINDOWS\system32\drtw32.exe

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Java Plug-in"=-

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna a vypni opět po dobu běhu ComboFixu rezidentní ochranu.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť

- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT.

[otaznik]

Log ComboFix:

ComboFix 09-02-02.01 - otaznik 2009-02-05 19:42:31.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.3327.2855 [GMT 1:00]
Spuštěný z: c:\documents and settings\otaznik\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\otaznik\Plocha\CFScript.txt
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: ESET personal firewall *enabled*
* Vytvořen nový Bod Obnovení

FILE ::
c:\windows\system32\drtw32.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drtw32.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-01-05 do 2009-02-05 )))))))))))))))))))))))))))))))
.

2009-02-01 09:49 . 2009-02-01 10:40 54 --a------ c:\windows\Lic.xxx
2009-02-01 09:48 . 2009-02-01 09:48 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MicroWorld
2009-02-01 09:48 . 2009-02-01 09:48 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-02-01 09:48 . 2009-02-01 09:48 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-02-01 09:48 . 2008-04-14 04:22 147,968 --a------ c:\windows\R.COM
2009-02-01 09:48 . 2008-04-14 04:22 137,216 --a------ c:\windows\system32\T.COM
2009-02-01 09:48 . 2009-02-01 09:48 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-02-01 09:48 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-01-28 22:36 . 2009-01-28 22:36 <DIR> d-------- c:\windows\system32\xlive
2009-01-28 20:18 . 2009-01-28 20:18 <DIR> d-------- c:\documents and settings\otaznik\Data aplikací\Malwarebytes
2009-01-28 20:18 . 2009-01-28 20:18 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-01-28 20:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-28 20:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d-------- c:\documents and settings\Administrator\Plocha
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d--h----- c:\documents and settings\Administrator\Okolní tiskárny
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d--h----- c:\documents and settings\Administrator\Okolní síť
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d-------- c:\documents and settings\Administrator\Oblíbené položky
2009-01-28 19:46 . 2007-12-06 21:02 <DIR> d--h----- c:\documents and settings\Administrator\Šablony
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> dr------- c:\documents and settings\Administrator\Nabídka Start
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> d-------- c:\documents and settings\Administrator\Dokumenty
2009-01-28 19:46 . 2007-06-12 23:54 <DIR> dr-h----- c:\documents and settings\Administrator\Data aplikací
2009-01-28 19:46 . 2009-01-28 19:46 <DIR> d-------- c:\documents and settings\Administrator
2009-01-24 12:49 . 2009-01-24 12:49 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Apple Computer
2009-01-15 09:37 . 2009-01-15 09:37 42,320 --a------ c:\windows\system32\xfcodec.dll
2009-01-14 18:29 . 2009-01-14 18:29 127 --a------ c:\windows\system32\MRT.INI
2009-01-05 21:54 . 2002-12-29 01:14 81,920 --a------ c:\windows\system32\Startup.cpl
2009-01-05 19:47 . 2009-01-05 19:47 <DIR> d-------- c:\program files\Apple Software Update
2009-01-05 19:47 . 2009-01-05 19:47 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Apple
2009-01-05 19:39 . 2009-01-05 19:39 <DIR> d-------- c:\program files\OpenOffice.org 2.4
2009-01-05 16:18 . 2009-01-05 16:18 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx
2009-01-05 16:18 . 2009-01-05 16:18 57,344 --a------ c:\windows\system32\QuickTime.qts
2009-01-05 00:27 . 2009-01-05 00:27 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-03 23:19 --------- d-----w c:\documents and settings\otaznik\Data aplikací\Azureus
2009-02-02 18:28 --------- d-----w c:\documents and settings\otaznik\Data aplikací\Xfire
2009-01-31 10:20 --------- d-----w c:\documents and settings\otaznik\Data aplikací\gtk-2.0
2009-01-30 21:35 --------- d-----w c:\program files\Common Files\WebMoney Keeper
2009-01-21 20:46 --------- d-----w c:\documents and settings\otaznik\Data aplikací\OpenOffice.org2
2009-01-18 23:08 --------- d-----w c:\program files\Java
2009-01-11 09:17 --------- d-----w c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2009-01-04 19:08 --------- d-----w c:\program files\TeaTimer (Spybot - Search & Destroy)
2009-01-04 19:08 --------- d-----w c:\program files\SDHelper (Spybot - Search & Destroy)
2009-01-04 19:08 --------- d-----w c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2009-01-04 19:08 --------- d-----w c:\program files\File Scanner Library (Spybot - Search & Destroy)
2009-01-04 18:26 --------- d-----w c:\program files\AGEIA Technologies
2009-01-04 18:25 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-12-15 19:59 --------- d-----w c:\program files\Microsoft Silverlight
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 21:10 150,567 ----a-w c:\windows\HAM Uninstaller.exe
2008-12-10 14:17 7,808 ----a-w c:\windows\system32\drivers\psi_mf.sys
2008-12-09 17:03 --------- d-----w c:\documents and settings\otaznik\Data aplikací\ICQ
2008-12-09 17:02 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-14 11:01 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008091420080915\index.dat
.

((((((((((((((((((((((((((((( snapshot@2009-02-02_19.51.20.20 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-02 18:50:21 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-05 18:14:40 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-02 18:50:21 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2009-02-05 18:14:40 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
- 2009-02-02 18:50:21 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-05 18:14:40 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-05 18:45:25 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_380.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cobian Backup 8"="c:\programs\Cobian Backup 8\Cobian.exe" [2007-09-27 501248]
"egui"="c:\programs\ESET Smart Security\egui.exe" [2008-02-20 1443072]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-05 136600]
"QuickTime Task"="c:\programs\QuickTime\QTTask.exe" [2009-01-05 413696]
"CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE]
"nwiz"="nwiz.exe" [2008-11-12 c:\windows\system32\nwiz.exe]

c:\documents and settings\otaznik\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Secunia PSI.lnk - c:\programs\Secunia\PSI\psi.exe [2008-12-17 748840]
Xfire.lnk - c:\programs\Xfire\xfire.exe [2009-01-15 2993488]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\programs\Acrobat 7\Reader\reader_sl.exe [2005-09-24 29696]
APC UPS Status.lnk - c:\programs\APC PowerChute Personal Edition\Display.exe [2007-06-12 221247]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.ac3filter"= ac3filter.acm
"msacm.avis"= ff_acm.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Call of Duty 4\\iw3mp.exe"=
"c:\\Programs\\QIP\\qip.exe"=
"c:\\Programs\\Xfire\\xfire.exe"=
"c:\\Programs\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"e:\\Mass Effect\\Binaries\\MassEffect.exe"=
"e:\\Mass Effect\\MassEffectLauncher.exe"=
"c:\\Programs\\ICQ6.5\\ICQ.exe"=

R2 ekrn;Eset Service;c:\programs\ESET Smart Security\ekrn.exe [2008-02-20 472320]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2002-09-23 69120]
S3 aswArKrn;aswArKrn;\??\c:\docume~1\otaznik\LOCALS~1\Temp\aswArKrn.sys --> c:\docume~1\otaznik\LOCALS~1\Temp\aswArKrn.sys [?]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]
.
Obsah adresáře 'Naplánované úlohy'

2009-01-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\otaznik\Data aplikací\Mozilla\Firefox\Profiles\iu4ac7q3.default\
FF - plugin: c:\programs\Acrobat 7\Reader\browser\nppdf32.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin7.dll

---- NASTAVENÍ FIREFOXU ----
c:\programs\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 19:45:52
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1645522239-1801674531-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:14,ad,3d,9f,d3,0c,62,03,32,f5,cf,99,29,03,41,d1,3b,7a,4b,01,17,44,14,
4e,2b,ef,e3,31,1e,61,90,ab,63,3d,fd,eb,46,d4,9d,4c,7a,a3,ec,02,04,f9,43,fe,\
"??"=hex:5c,f1,83,89,34,2e,c3,29,75,49,0f,ac,fc,c3,b8,aa

[HKEY_USERS\S-1-5-21-1645522239-1801674531-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:ce,31,0d,3f,c8,19,8d,c8,6a,2a,31,25,df,07,c9,d4,b5,e5,8d,1e,1e,
87,51,7d,2e,01,81,d4,b3,71,8c,fd,45,3d,30,34,36,2c,b7,06,9f,fb,e9,43,2e,92,\
"rkeysecu"=hex:de,fd,da,8a,d5,55,5e,93,36,f5,72,bf,bf,77,d5,1c
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\programs\Ad-Aware 2007\aawservice.exe
c:\windows\system32\rundll32.exe
c:\programs\APC PowerChute Personal Edition\mainserv.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\programs\Cobian Backup 8\cbInterface.exe
c:\windows\system32\nvsvc32.exe
c:\programs\APC PowerChute Personal Edition\apcsystray.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2009-02-05 19:46:56 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-02-05 18:46:53
ComboFix2.txt 2009-02-03 19:33:22
ComboFix3.txt 2009-02-02 18:51:46

Před spuštěním: 2 791 923 712
Po spuštění: 2,781,974,528

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
189 --- E O F --- 2009-01-14 17:30:06

[otaznik]

log HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:54, on 5.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programs\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programs\Cobian Backup 8\Cobian.exe
C:\Programs\ESET Smart Security\egui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Programs\APC PowerChute Personal Edition\mainserv.exe
C:\Programs\ESET Smart Security\ekrn.exe
C:\Programs\Secunia\PSI\psi.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Programs\Xfire\xfire.exe
C:\Programs\Cobian Backup 8\cbInterface.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programs\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programs\Mozilla Firefox\firefox.exe
C:\Programs\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programs\Acrobat 7\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Programs\Cobian Backup 8\Cobian.exe"
O4 - HKLM\..\Run: [egui] "C:\Programs\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programs\QuickTime\QTTask.exe" -atboottime
O4 - Startup: Secunia PSI.lnk = C:\Programs\Secunia\PSI\psi.exe
O4 - Startup: Xfire.lnk = C:\Programs\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programs\Acrobat 7\Reader\reader_sl.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programs\Ad-Aware 2007\aawservice.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programs\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programs\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programs\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6011 bytes

[fredik]

Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře a dej Ok:
ComboFix /u
- mezi ComboFix a /u musí být mezera
- počkej až proběhne, bude tě o tom informovat.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Spusť znovu HijackThis a zaškrtni v něm čtvereček před tímto řádkem:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
po zaškrtnutí klikni na tlačítko Fix Checked

Případně můžeš fixnout v HJT stejným postupem položky, které se spouští zároveň se startem Win. a nejsou nutné/potřeba:
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programs\QuickTime\QTTask.exe" -atboottime

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

I když aktuální verze Javy nepřináší oproti té verzi, kterou máš nainstalovanou žádnou bezpečnostní opravu, doporučil bych ti ji aktualizovat:
- Stáhni si poslední verzi Java SE Runtime Environment (JRE) JRE 6 Update 12
- Pod nápisem napravo kde je napsáno Java SE Runtime Environment (JRE) klikni na tlačítko Download
- Načte se ti nová stránka
- Pod nadpisem Select Platform and Language for your download:
* u položky Platform: vyber OS který používáš
* zatrhni možnost kde je napsáno: I agree to the Java SE Runtime Environment 6 with JavaFX License Agreement
* klikni na tlačítko Continue >>
- Načte se ti nová stránka
- Klikni na odkaz pro stažení pod položkou: Windows Offline Installation a ulož si ho na disk

- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:

J2SE Runtime Environment 5.0
J2SE Runtime Environment 5.0 Update 8
Java 2 Runtime Environment, SE v1.4.2
Java(TM) 6 Update 11

- Odinstaluj je přes tlačítko Změnit nebo odebrat nebo Odebrat
- Odinstaluj postupně po sobě případné všechny staré verze Javy

Stáhni si JavaRa, rozbal si ho do vlastní složky a spusť ho.

• vyber si jazyka a potvrď ho přes tlačítko Select
• pak zvol možnost Remove Older Versions a postupuj podle instrukcí programu
• na konci program zobrazí log, tak ho zavři a program ukonči

Poté restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u12-windows-i586-p.exe, který sis stáhl na začátku.

Pokud využíváš i nějak častěji OpenOffice, tak si ho také případně aktualizuj na současnou verzi: 3.0.1

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Pokud nemáš nějaké další problémy tak by to bylo vše.

[otaznik]

Díky moc!