PC-HELP.CZ

Zdravím zdejší odborníky,
mám problém s viry, ale to asi většina co tu má nějaký dotaz. Mám ESET SS3 a nikdy jsem neměl problémy s viry, alespoň tedy ESET nic nehlásil :-) , ale posledních 14 dní se s nimy roztrhnul pytel. Najednou se objevili různí koníci, downloadeři a nakonec i rootkiti, tak mám nyní v karanténě pěknou sbírku různých exemplářů. Takže jsem podle zdejšího návodu "Standartní postup při čištění napadeného PC" postahoval uvedené programy a provedl popsané procedury (po kontrole ESET SS3 počet zachycených hrozeb 0, Malwarebytes 5x rootkit.Agent.V, při dalším testu pak také 0) s tím že už by mělo být vše OK, nicméně MWAV mě vyvedl z omylu.
(Co mi však nešlo bylo spuštění ESETu v nouzovém režimu, takže kontrola probíhala v normálním režimu.)

Výsledek je 25 krytických objektů a 5 chyb. Jelikož nejsem v této problematice zrovna expert, mohl by mi prosím někdo napsat jak vážné to je a jak bych měl dál postupovat?

Děkuji moc za pomoc.

(PS:pokud je lepší to řešit napřímo tak tu budu zase zítra kolem 20 hodiny)

Zde je log chybných hlášení z MWAV.

Invalid Entry DllName = appmgmts.dll (in key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Action Taken: Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}.
30 III 2009 21:07:00 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{602D9049-B4AC-4A25-BF75-A9B54D747CBA})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:00 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:00 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:00 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{D2129738-6A78-4BCB-915A-412982CAA23D})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:00 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:00 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\AppID\{69E0089F-28BC-4BB5-862B-E2B07C3B83C6})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\typelib\{DABF362D-D442-4402-9208-CA9ED70DD01E})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459A91BC-193F-4A70-959C-BFF69D781142})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\interface\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\interface\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\interface\{F6E4845D-1D13-4BC0-942D-B9191524CC48})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:25 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\AppID\{69E0089F-28BC-4BB5-862B-E2B07C3B83C6})! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:26 - Offending Key found: HKCR\MEAD.1 !!!
30 III 2009 21:07:26 - Objekt "MediaAdVantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
30 III 2009 21:07:26 - Objekt "MediaAdVantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
30 III 2009 21:07:26 - Objekt "MediaAdVantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
30 III 2009 21:07:26 - System found infected with Spyware.NetScreenWatch Spyware/Adware (iun6002.exe)! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:30 - System found infected with MediaAdVantage Spyware/Adware (HKCU\Software\AdVantage)! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:30 - System found infected with CyberSitter Spyware/Adware (HKLM\SOFTWARE\MimarSinan)! Action taken: Ponecháno, neodstraněno!.
30 III 2009 21:07:30 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/Alcmtr)! Action taken: Ponecháno, neodstraněno!.

// Přesunuto do sekce HijackThis
// mike007

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

Zdravím,
tento program mám a používám. Jak jsem psal hned ze začátku, tak mi při úplné kontrole našel 5x rootkita. Pak jsem to zkoušel ještě jednou a bylo to čistý, tak jsem si ještě pro jistou nainstaloval MWAV s tím že snad bude PC už čistý a výsledek byl 25 krytických objektů a 5 chyb, tak jak je v logu v mém prvním příspěvku.

Tady je tedy požadovaný log z Anti-Malware:

Malwarebytes' Anti-Malware 1.35
Verze databáze: 1924
Windows 5.1.2600 Service Pack 3

31.3.2009 18:25:51
mbam-log-2009-03-31 (18-25-51).txt

Typ skenu: Rychlý sken
Objektu skenováno: 62955
Uplynulý cas: 2 minute(s), 4 second(s)
Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)
Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)
Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)
Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)
Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)
Infikované složky:
(Žádné zákerné položky nebyly zjišteny)
Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

Tak jsem to ještě zkontroloval přes Doctor Web a se stejným výsledkem jako ESET SS3 i Malwarebytes' Anti-Malware. Počet nalezených hrozeb 0. Tak pak následoval MWAV se stejným výsledkem jako včera 25 krytických objektů + 5 chyb a jako bonus navíc oproti včerejšku

Soubor D:\System Volume Information\_restore{140C170B-0734-4EB4-A24C-7A6C16298843}\RP1\A0000013.exe je infikovaný virem Trojan.Peed.Gen (DB) !! Provedené akce: Ponecháno, neodstraněno!

Pokud to máš jen v System Volume Information a PC je jinak naprosto v pořádku, udělej toto:
Vypni obnovu sytému- restartuj PC- po restartu si obnovu znovu zapni.

To jsem již udělal a je to OK, zajímalo by mě co s těmi 25 + 5 případy výskytu co našel MWAV, tím se nemusím znepokojovat?
Co nechápu tak proč se posledních 14 dní s těmi viry u mě roztrhnul pytel. Je možné, že se mi někdo pase na mojí zahrádce? :-) Pod Skypem mi běží kromě TP80 která poslouchá i nějaká adresa, která přijímá a odesílá data.

Díky za jakoukoliv radu a pomoc.

Takže sem vlož log z HJT.

Tak tady to je. Předem Ti díky za ochotu a trpělivost.. Ten výpis je pro mě něco jako Španělská vesnice :-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:10, on 31.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Hardcopy\hardcopy.exe
D:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\Program Files\Hardcopy\hardcopy.exe
O4 - Startup: Windows Commander 32.lnk = C:\wincmd\WINCMD32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windows ... 2271583734
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

(file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 4363 bytes

Takže to ještě projedem...
Vypni rez. ochrany u ESS(i firewall).
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Podívám se zítra , dnes musím končit.

Takže tady je výpis z ComboFix. Jinak nevím jestli je to důležité, ale k čištění systému a opravě registrů používám CCleaner popř. jv16 Power Tool 2009.

ComboFix 09-03-31.01 - Tomas 2009-03-31 21:41:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1029.18.1023.626 [GMT 2:00]
Spuštěný z: c:\documents and settings\Tomas\Plocha\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: ESET personal firewall *disabled*
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Tomas\Data aplikací\inst.exe
c:\documents and settings\Tomas\Data aplikací\wiaserva.log
c:\documents and settings\Tomas\Tomas.exe
c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-02-28 do 2009-03-31 )))))))))))))))))))))))))))))))
.

2009-03-31 20:25 . 2009-03-31 20:25 <DIR> d-------- c:\documents and settings\Tomas\DoctorWeb
2009-03-30 21:38 . 2009-03-31 21:02 0 --a------ C:\23990098.$$$
2009-03-30 21:07 . 2009-03-30 21:07 3,979,359 --a------ c:\windows\REGBK00.ZIP
2009-03-30 21:04 . 2009-03-30 21:04 <DIR> d-a------ c:\windows\system32\runouce.exe
2009-03-30 21:00 . 2009-03-30 21:00 <DIR> d-------- c:\program files\Common Files\MicroWorld
2009-03-30 21:00 . 2009-03-30 21:00 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MicroWorld
2009-03-30 21:00 . 2009-03-30 21:00 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-30 21:00 . 2009-03-30 21:00 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-30 21:00 . 2008-04-14 05:22 147,968 --a------ c:\windows\R.COM
2009-03-30 21:00 . 2008-04-14 05:22 137,216 --a------ c:\windows\system32\T.COM
2009-03-30 21:00 . 2009-03-30 21:00 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-30 21:00 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-30 21:00 . 2009-03-31 20:47 54 --a------ c:\windows\Lic.xxx
2009-03-27 18:23 . 2009-03-27 18:23 <DIR> d-------- c:\program files\CCleaner
2009-03-27 18:08 . 2009-03-27 18:11 <DIR> d-a------ c:\documents and settings\All Users\Data aplikací\TEMP
2009-03-27 17:49 . 2009-03-27 18:06 <DIR> d-------- c:\program files\Free Windows Registry Cleaner
2009-03-27 17:39 . 2009-03-27 17:39 <DIR> d-------- c:\windows\$regcmp$
2009-03-27 17:36 . 2009-03-27 17:47 <DIR> d-------- c:\program files\Registry Clean Expert
2009-03-26 23:30 . 2009-03-26 23:31 <DIR> d-------- c:\windows\system32\NtmsData
2009-03-26 22:54 . 2009-03-26 22:54 23 --ahs---- c:\windows\system32\edacded0_x.dat
2009-03-26 22:54 . 2009-03-26 22:54 23 --a------ c:\windows\system32\bcdadac7_x.xml
2009-03-26 22:53 . 2009-03-26 22:54 <DIR> d-------- c:\program files\jv16 PowerTools 2009
2009-03-26 22:33 . 2009-03-26 22:33 <DIR> d-------- c:\documents and settings\Tomas\Data aplikací\Malwarebytes
2009-03-26 22:32 . 2009-03-27 16:51 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-26 22:32 . 2009-03-26 22:32 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-03-26 22:32 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-26 22:32 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-13 21:37 . 2009-03-13 21:37 <DIR> d-------- c:\program files\Codec Pack - All In 1
2009-03-13 21:37 . 2009-03-13 21:36 737,280 --a------ c:\windows\iun6002.exe
2009-03-02 20:01 . 2005-05-26 16:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll
2009-02-13 10:08 . 2009-03-30 20:46 <DIR> d-------- c:\program files\Hardcopy
2009-02-13 10:08 . 2007-06-01 07:20 503,808 --a------ c:\windows\SwSetupu.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-31 19:23 --------- d-----w c:\documents and settings\Tomas\Data aplikací\Skype
2009-03-27 16:59 --------- d-----w c:\program files\Winamp
2009-03-20 12:26 --------- d-----w c:\program files\GameTop.com
2009-03-07 17:15 --------- d-----w c:\documents and settings\Tomas\Data aplikací\BSplayer
2009-02-28 18:45 --------- d-----w c:\documents and settings\Tomas\Data aplikací\Vso
2009-02-09 14:07 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-01-29 07:49 --------- d-----w c:\program files\Google
2009-01-11 18:32 47,360 ----a-w c:\documents and settings\Tomas\Data aplikací\pcouffin.sys
2008-12-05 06:57 144,896 ----a-w c:\windows\system32\schannel.dll
2008-03-02 17:11 32 ----a-w c:\documents and settings\All Users\Data aplikací\ezsid.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-09-23 21755688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-10-24 1451264]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Tomas\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Hardcopy.LNK - c:\program files\Hardcopy\hardcopy.exe [2009-02-13 1286656]
Windows Commander 32.lnk - c:\wincmd\WINCMD32.EXE [2007-10-18 1443328]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-10-24 468224]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2004-08-18 69120]
S2 UlkqaEnpuxv;UlkqaEnpuxv;c:\windows\System32\svchost.exe -k netsvcs [2004-08-18 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UlkqaEnpuxv
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Tomas\Data aplikací\Mozilla\Firefox\Profiles\ih5vf0wz.default\
FF - prefs.js: browser.search.selectedEngine - Seznam
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-31 21:41:58
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\MessengerService]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Run]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows NT\CurrentVersion\Network\Persistent Connections]
@DACL=(02 0000)
DUMPHIVE0.003 (REGF)

[HKEY_USERS\S-1-5-21-1460304000-3615762775-1979223112-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:9c,99,cf,bd,01,69,ff,0e,a0,3b,3a,9f,bd,5f,ec,a5,c7,78,ea,72,f2,08,cd,
9c,2f,e0,a8,64,3a,b3,c7,89,ab,28,12,20,4b,30,d6,9e,29,3b,9b,4a,34,0b,71,6b,\
"??"=hex:6f,78,d6,80,a5,79,1f,fb,6f,a7,34,1e,1d,9f,8c,96
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2009-03-31 21:42:53
ComboFix-quarantined-files.txt 2009-03-31 19:42:39

Před spuštěním: Volných bajtů: 89 234 542 592
Po spuštění: Volných bajtů: 89,340,780,544

150 --- E O F --- 2009-03-13 08:45:20

takže CF smazal nákazy a ještě to dočistíme..
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Takže tady to je, akorát jsem udělal jednu chybu ten výpis CF je až z druhého pokusu. Vím jen že při prvním ještě smazal cca 3 soubory. Což u toho druhého samozřejmě již není vidět. Doufám že to není velký problém?

Ještě bych se chtěl zeptat, jestli tady tu očistu s CF a Malwarebytes' Anti-Malware můžu opakovat pokaždé když mi MWAV něco najde, nebo ten způsob léčení je závislý na tom výpisu z Hijacku.

Původně jsem si myslel že když si pořídím ESET SS tak budu v klidu, ale když vidím co mu teď všechno uteklo, tak to budu muset ještě o pár, tady na foru doporučených, programů rozšířit.

Zkusil jsem ještě MWAV jestli se to oproti včerejšku nějak změnilo a ono fakt, ale ještě trošku k horšímu :-)
Našel 30 krytrických objektů + 4 chyby. Jinak výpis krytických objektů z MWAV, kdyby byl potřeba, je také přiložen úplně na konci



ComboFix 09-03-31.03 - Tomas 2009-04-01 17:52:48.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1029.18.1023.576 [GMT 2:00]
Spuštěný z: c:\documents and settings\Tomas\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Tomas\Plocha\CFScript.txt
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: ESET personal firewall *disabled*
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
c:\windows\REGBK00.ZIP
c:\windows\system32\bcdadac7_x.xml
c:\windows\system32\edacded0_x.dat
c:\windows\system32\runouce.exe
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-03-01 do 2009-04-01 )))))))))))))))))))))))))))))))
.

2009-03-31 20:25 . 2009-03-31 20:25 <DIR> d-------- c:\documents and settings\Tomas\DoctorWeb
2009-03-30 21:38 . 2009-03-31 21:02 0 --a------ C:\23990098.$$$
2009-03-30 21:00 . 2009-03-30 21:00 <DIR> d-------- c:\program files\Common Files\MicroWorld
2009-03-30 21:00 . 2009-03-30 21:00 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MicroWorld
2009-03-30 21:00 . 2009-03-30 21:00 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-30 21:00 . 2009-03-30 21:00 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-30 21:00 . 2008-04-14 05:22 147,968 --a------ c:\windows\R.COM
2009-03-30 21:00 . 2008-04-14 05:22 137,216 --a------ c:\windows\system32\T.COM
2009-03-30 21:00 . 2009-03-30 21:00 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-30 21:00 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-30 21:00 . 2009-03-31 20:47 54 --a------ c:\windows\Lic.xxx
2009-03-27 18:23 . 2009-03-27 18:23 <DIR> d-------- c:\program files\CCleaner
2009-03-27 18:08 . 2009-03-27 18:11 <DIR> d-a------ c:\documents and settings\All Users\Data aplikací\TEMP
2009-03-27 17:49 . 2009-03-27 18:06 <DIR> d-------- c:\program files\Free Windows Registry Cleaner
2009-03-27 17:39 . 2009-03-27 17:39 <DIR> d-------- c:\windows\$regcmp$
2009-03-27 17:36 . 2009-03-27 17:47 <DIR> d-------- c:\program files\Registry Clean Expert
2009-03-26 23:30 . 2009-03-26 23:31 <DIR> d-------- c:\windows\system32\NtmsData
2009-03-26 22:53 . 2009-03-26 22:54 <DIR> d-------- c:\program files\jv16 PowerTools 2009
2009-03-26 22:33 . 2009-03-26 22:33 <DIR> d-------- c:\documents and settings\Tomas\Data aplikací\Malwarebytes
2009-03-26 22:32 . 2009-03-27 16:51 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-26 22:32 . 2009-03-26 22:32 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-03-26 22:32 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-26 22:32 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-13 21:37 . 2009-03-13 21:37 <DIR> d-------- c:\program files\Codec Pack - All In 1
2009-03-13 21:37 . 2009-03-13 21:36 737,280 --a------ c:\windows\iun6002.exe
2009-03-02 20:01 . 2005-05-26 16:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-01 15:50 --------- d-----w c:\documents and settings\Tomas\Data aplikací\Skype
2009-03-30 18:46 --------- d-----w c:\program files\Hardcopy
2009-03-27 16:59 --------- d-----w c:\program files\Winamp
2009-03-20 12:26 --------- d-----w c:\program files\GameTop.com
2009-03-07 17:15 --------- d-----w c:\documents and settings\Tomas\Data aplikací\BSplayer
2009-02-28 18:45 --------- d-----w c:\documents and settings\Tomas\Data aplikací\Vso
2009-02-09 14:07 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-01-11 18:32 47,360 ----a-w c:\documents and settings\Tomas\Data aplikací\pcouffin.sys
2008-03-02 17:11 32 ----a-w c:\documents and settings\All Users\Data aplikací\ezsid.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-09-23 21755688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-10-24 1451264]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Tomas\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Hardcopy.LNK - c:\program files\Hardcopy\hardcopy.exe [2009-02-13 1286656]
Windows Commander 32.lnk - c:\wincmd\WINCMD32.EXE [2007-10-18 1443328]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-10-24 468224]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2004-08-18 69120]
S2 UlkqaEnpuxv;UlkqaEnpuxv;c:\windows\System32\svchost.exe -k netsvcs [2004-08-18 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UlkqaEnpuxv
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Tomas\Data aplikací\Mozilla\Firefox\Profiles\ih5vf0wz.default\
FF - prefs.js: browser.search.selectedEngine - Seznam
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 17:53:19
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\MessengerService]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Run]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows NT\CurrentVersion\Network\Persistent Connections]
@DACL=(02 0000)
DUMPHIVE0.003 (REGF)

[HKEY_USERS\S-1-5-21-1460304000-3615762775-1979223112-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:9c,99,cf,bd,01,69,ff,0e,a0,3b,3a,9f,bd,5f,ec,a5,c7,78,ea,72,f2,08,cd,
9c,2f,e0,a8,64,3a,b3,c7,89,ab,28,12,20,4b,30,d6,9e,29,3b,9b,4a,34,0b,71,6b,\
"??"=hex:6f,78,d6,80,a5,79,1f,fb,6f,a7,34,1e,1d,9f,8c,96
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1012)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2009-04-01 17:53:55
ComboFix-quarantined-files.txt 2009-04-01 15:53:53
ComboFix2.txt 2009-04-01 15:48:03
ComboFix3.txt 2009-03-31 19:42:53

Před spuštěním: Volných bajtů: 89 293 942 784
Po spuštění: Volných bajtů: 89,281,908,736

137 --- E O F --- 2009-03-13 08:45:20






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:39, on 1.4.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Hardcopy\hardcopy.exe
C:\WINDOWS\explorer.exe
D:\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\Program Files\Hardcopy\hardcopy.exe
O4 - Startup: Windows Commander 32.lnk = C:\wincmd\WINCMD32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 2271583734
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 4385 bytes



MWAV

01 IV 2009 18:14:58 - ***** Prohledávání registrů a souborů na přítomnost Adware/Spyware *****
01 IV 2009 18:14:58 - Loading Spyware Signatures from new External Database [Name: C:\DOCUME~1\Tomas\LOCALS~1\temp\spydb.avs, Size: 898852]...
01 IV 2009 18:14:58 - Indexed Spyware Databases Successfully Created...

01 IV 2009 18:15:24 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{602D9049-B4AC-4A25-BF75-A9B54D747CBA})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:24 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:24 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:24 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{D2129738-6A78-4BCB-915A-412982CAA23D})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:24 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:24 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\AppID\{69E0089F-28BC-4BB5-862B-E2B07C3B83C6})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\typelib\{DABF362D-D442-4402-9208-CA9ED70DD01E})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459A91BC-193F-4A70-959C-BFF69D781142})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\interface\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\interface\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\interface\{F6E4845D-1D13-4BC0-942D-B9191524CC48})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:50 - System found infected with MediaAdVantage Spyware/Adware (HKEY_CLASSES_ROOT\AppID\{69E0089F-28BC-4BB5-862B-E2B07C3B83C6})! Action taken: Ponecháno, neodstraněno!.
01 IV 2009 18:15:51 - Offending Key found: HKCU\Software\Kazaa !!!
01 IV 2009 18:15:51 - Objekt "kazaa Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.

01 IV 2009 18:15:51 - Offending Key found: HKCR\MEAD.1 !!!
01 IV 2009 18:15:51 - Objekt "MediaAdVantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.

01 IV 2009 18:15:51 - Offending Key found: HKCR\TR.TRFactory !!!
01 IV 2009 18:15:51 - Objekt "MediaAdVantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.

01 IV 2009 18:15:51 - Offending Key found: HKCR\TR.TRFactory.1 !!!
01 IV 2009 18:15:51 - Objekt "MediaAdVantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.

01 IV 2009 18:15:51 - Offending file found: C:\WINDOWS\iun6002.exe
01 IV 2009 18:15:51 - System found infected with Spyware.NetScreenWatch Spyware/Adware (iun6002.exe)! Action taken: Ponecháno, neodstraněno!.

01 IV 2009 18:15:51 - Offending Registry Entry found: HKCU\Software\AdVantage
01 IV 2009 18:15:51 - System found infected with MediaAdVantage Spyware/Adware (HKCU\Software\AdVantage)! Action taken: Ponecháno, neodstraněno!.

01 IV 2009 18:15:51 - Offending Registry Entry found: HKLM\SOFTWARE\MimarSinan
01 IV 2009 18:15:51 - System found infected with CyberSitter Spyware/Adware (HKLM\SOFTWARE\MimarSinan)! Action taken: Ponecháno, neodstraněno!.

01 IV 2009 18:15:51 - Offending Registry Entry found: HKCU\SOFTWARE\Wget
01 IV 2009 18:15:51 - System found infected with Backdoor (IRCBot) Trojans Spyware/Adware (HKCU\SOFTWARE\Wget)! Action taken: Ponecháno, neodstraněno!.

01 IV 2009 18:15:51 - Offending Registry Entry found: HKCU\Software\Microsoft\OLE
01 IV 2009 18:15:51 - System found infected with Backdoor (IRCBot) Trojans Spyware/Adware (HKCU\Software\Microsoft\OLE)! Action taken: Ponecháno, neodstraněno!.

01 IV 2009 18:15:52 - Offending Registry Entry found: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
01 IV 2009 18:15:52 - System found infected with Spyware.ExpressKeylog Corrupted Adware/Spyware (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations)! Action taken: Ponecháno, neodstraněno!.

01 IV 2009 18:15:52 - Offending Registry Entry found: HKLM\SOFTWARE\Knight
01 IV 2009 18:15:52 - System found infected with DiskKnight Adware (HKLM\SOFTWARE\Knight)! Action taken: Ponecháno, neodstraněno!.

01 IV 2009 18:15:52 - Offending Registry Entry found: HKCU\Software\Microsoft\Windows\CurrentVersion\Drivers
01 IV 2009 18:15:52 - System found infected with AntiSpyware Pro XP Corrupted Adware/Spyware (HKCU\Software\Microsoft\Windows\CurrentVersion\Drivers)! Action taken: Ponecháno, neodstraněno!.