Kontrola logu - dela neplechu

[gutik]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:52, on 15.10.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\UMStor\Res.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programy\Power2Go\Power2GoExpress.exe
C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Program Files\Vidalia Bundle\Tor\tor.exe
C:\Program Files\ICQ7.6\ICQ.exe
C:\Documents and Settings\jaruna\Data aplikací\Program Files\iexplorer.exe
C:\DOCUME~1\jaruna\LOCALS~1\Temp\5551.exe
C:\Documents and Settings\jaruna\Data aplikací\svchost.exe
C:\Documents and Settings\jaruna\Data aplikací\svchost.exe
C:\Documents and Settings\jaruna\Data aplikací\svchost.exe
C:\DOCUME~1\jaruna\LOCALS~1\Temp\acd\tasked.exe
C:\DOCUME~1\jaruna\LOCALS~1\Temp\acd\tasked.exe
C:\DOCUME~1\jaruna\LOCALS~1\Temp\9819.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Documents and Settings\jaruna\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\jaruna\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\jaruna\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\Documents and Settings\jaruna\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\jaruna\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Program Files\AVAST Software\Avast\setup\avast.setup
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Documents and Settings\jaruna\Plocha\hijackthis\hijackthis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/#utm_source=icq&u ... um=generic
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\Documents and Settings\jaruna\Data aplikací\svchost.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windupdt\winupdate.exe
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\WINDOWS\UMStor\Res.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [svhost.exe] "C:\Documents and Settings\jaruna\Data aplikací\svhost.exe"
O4 - HKLM\..\Run: [system] C:\Documents and Settings\jaruna\Data aplikací\system\admin.exe
O4 - HKLM\..\Run: [MSWUpdate] "C:\Documents and Settings\jaruna\Data aplikací\svchost.exe"
O4 - HKLM\..\Run: [Microsoft Intell] C:\Documents and Settings\jaruna\Data aplikací\local.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [explorer] C:\Documents and Settings\jaruna\Local Settings\Temp\qEPjwkWxUTuctfjKkvpIFb.exe
O4 - HKCU\..\Run: [Microsoft Intell] C:\Documents and Settings\jaruna\Data aplikací\local.exe
O4 - HKCU\..\Run: [system] C:\Documents and Settings\jaruna\Data aplikací\system\admin.exe
O4 - HKCU\..\Run: [MSWUpdate] "C:\Documents and Settings\jaruna\Data aplikací\svchost.exe"
O4 - HKCU\..\Run: [winupdater] C:\Windupdt\winupdate.exe
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\Documents and Settings\jaruna\Data aplikací\system\admin.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Intell] C:\Documents and Settings\jaruna\Data aplikací\local.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files\ICQ7.6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files\ICQ7.6\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{22D6896A-02CC-43C6-86D6-5241039D8151}: NameServer = 213.250.192.1,213.250.194.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{22D6896A-02CC-43C6-86D6-5241039D8151}: NameServer = 213.250.192.1,213.250.194.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{22D6896A-02CC-43C6-86D6-5241039D8151}: NameServer = 213.250.192.1,213.250.194.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{22D6896A-02CC-43C6-86D6-5241039D8151}: NameServer = 213.250.192.1,213.250.194.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 10517 bytes

[Reklama]

[bledulka]

Ahoj,
hezký, kde jsi vzal tolik virů?

Stáhni na plochu ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Před použitím vypni všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary
-Zavři všechna aktivní okna a spusť ho pod učtem s právy administrátora
- Po spuštění se zobrazí podmínky použití, potvrď je stiskem tlačítka Ano

- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna

- Po dokončení skenování, se vytvoří log C:\ComboFix.txt, zkopíruj celý jeho obsah sem.

[gutik]

to je pritelkyne pocitac


ComboFix 11-10-15.04 - jaruna 16.10.2011 13:13:29.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.2047.1441 [GMT 2:00]
Spuštěný z: c:\documents and settings\jaruna\Plocha\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
/wow section nedokončena
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\jaruna\Data aplikací\10.tmp
c:\documents and settings\jaruna\Data aplikací\11.exe
c:\documents and settings\jaruna\Data aplikací\5.tmp
c:\documents and settings\jaruna\Data aplikací\64.tmp
c:\documents and settings\jaruna\Data aplikací\Bjjyjz.exe
c:\documents and settings\jaruna\Data aplikací\local.exe
c:\documents and settings\jaruna\Data aplikací\rundll32.exe
c:\windows\system32\d3d9caps.dat
C:\Windupdt
c:\windupdt\winupdate.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-09-16 do 2011-10-16 )))))))))))))))))))))))))))))))
.
.
2011-10-15 21:00 . 2011-10-15 21:00 417208 ----a-w- c:\documents and settings\jaruna\Data aplikací\4.exe
2011-10-15 20:09 . 2011-09-06 20:36 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-10-15 20:09 . 2011-09-06 20:37 320856 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-10-15 20:09 . 2011-09-06 20:36 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-10-15 20:09 . 2011-09-06 20:36 52568 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-10-15 20:09 . 2011-09-06 20:38 442200 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-10-15 20:09 . 2011-09-06 20:36 110552 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-10-15 20:09 . 2011-09-06 20:36 104536 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-10-15 20:09 . 2011-09-06 20:33 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-10-15 20:09 . 2011-09-06 20:45 41184 ----a-w- c:\windows\avastSS.scr
2011-10-15 20:09 . 2011-09-06 20:45 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-10-15 20:08 . 2011-10-15 20:08 -------- d-----w- c:\program files\AVAST Software
2011-10-15 20:08 . 2011-10-15 20:08 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVAST Software
2011-10-14 21:16 . 2011-10-14 21:16 286721 --sh--r- c:\documents and settings\jaruna\Data aplikací\svchost.exe
2011-10-13 19:22 . 2011-10-13 19:23 352256 --sh--r- c:\documents and settings\jaruna\Data aplikací\svhost.exe
2011-10-13 18:12 . 2011-10-13 18:40 -------- d-----w- c:\documents and settings\jaruna\Data aplikací\Program Files
2011-10-13 18:12 . 2011-10-13 18:12 1040384 ----a-w- c:\documents and settings\jaruna\Data aplikací\3C.exe
2011-10-09 10:40 . 2011-10-09 10:40 -------- d-----w- c:\documents and settings\jaruna\Data aplikací\dvdcss
2011-10-05 19:29 . 2011-10-13 14:29 -------- d-----w- c:\program files\ICQ7.6
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-14 21:16 . 2011-10-14 21:16 286721 --sh--r- c:\documents and settings\jaruna\Data aplikací\svchost.exe
2011-03-18 17:55 . 2011-03-27 19:24 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 20:45 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Intell"="c:\documents and settings\jaruna\Data aplikací\local.exe" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-03 13545472]
"nwiz"="nwiz.exe" [2008-09-03 1630208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-09-15 815104]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-06-01 823296]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-06-01 974848]
"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_04\bin\jusched.exe" [2004-02-22 32881]
"USB Storage Toolbox"="c:\windows\UMStor\Res.EXE" [2005-09-14 65536]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-11-21 198160]
"RTHDCPL"="RTHDCPL.EXE" [2010-11-16 19722344]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Adobe Reader Speed Launch.lnk - d:\programy\Reader\reader_sl.exe [2005-9-23 29696]
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-1-18 2752512]
Privoxy.lnk - c:\program files\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 250368]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"Shell"= explorer.exe,c:\documents and settings\jaruna\Data aplikací\Vhjyjt.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\CyberLink\\PowerDirector Express\\PDX.exe"=
"c:\\Programme\\iTNC530\\340494\\sys\\bin\\geo.EXE"=
"c:\\Programme\\iTNC530\\340494\\sys\\bin\\ext.EXE"=
"c:\\Programme\\iTNC530\\340494\\sys\\bin\\plc.EXE"=
"c:\\Programme\\iTNC530\\340494\\sys\\bin\\regel.EXE"=
"c:\\Programme\\iTNC530\\340494\\xwin\\bin\\XWin.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\ICQ7.6\\ICQ.exe"=
"c:\\Documents and Settings\\jaruna\\Data aplikací\\Program Files\\iexplorer.exe"=
"c:\\Documents and Settings\\jaruna\\Data aplikací\\svchost.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1969:TCP"= 1969:TCP:pldbzo
.
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [16.5.2010 16:04 39680]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [16.5.2010 16:04 35712]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [15.10.2011 22:09 442200]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [15.10.2011 22:09 320856]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [15.10.2011 22:09 20568]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [22.5.2010 17:49 247608]
S1 wueqbzsa;wueqbzsa;\??\c:\windows\system32\drivers\wueqbzsa.sys --> c:\windows\system32\drivers\wueqbzsa.sys [?]
S2 evcgzi;Server Network;c:\windows\system32\svchost.exe -k netsvcs [17.8.2004 16:49 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [30.12.2010 1:42 1691480]
.
Obsah adresáře 'Naplánované úlohy'
.
2011-10-16 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-02-04 14:50]
.
2011-10-16 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-26 20:18]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/#utm_source=icq&u ... um=generic
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\ICQ7.6\ICQ.exe
TCP: DhcpNameServer = 84.16.108.1 84.16.96.2
TCP: Interfaces\{22D6896A-02CC-43C6-86D6-5241039D8151}: NameServer = 213.250.192.1,213.250.194.1
FF - ProfilePath - c:\documents and settings\jaruna\Data aplikací\Mozilla\Firefox\Profiles\158yr678.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://eu.ask.com?o=15425&l=dis
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... r=1.1.9&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 8118
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 8118
FF - prefs.js: network.proxy.type - 1
.
.
------- Asociace souborů -------
.
.scr=AutoCADScriptFile
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-Microsoft Intell - c:\documents and settings\jaruna\Data aplikací\local.exe
HKLM-Run-Vhjyjt - c:\documents and settings\jaruna\Data aplikací\Vhjyjt.exe
HKLM-Run-Microsoft Intell - c:\documents and settings\jaruna\Data aplikací\local.exe
HKU-Default-Run-Vhjyjt - c:\documents and settings\jaruna\Data aplikací\Vhjyjt.exe
HKLM_ActiveSetup-{D36E99BB-5FBD-89CF-3BF4-9EBAAABB762D} - c:\documents and settings\jaruna\Data aplikací\system\admin.exe
HKLM_ActiveSetup-{E91EC66B-7BCB-BFA6-C0DC-B688AAACCBF6} - c:\documents and settings\jaruna\Data aplikací\local.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-16 13:24
Windows 5.1.2600 Service Pack 2 NTFS
.
detected NTDLL code modification:
ZwEnumerateValueKey, ZwQueryDirectoryFile
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ijjyjg = c:\documents and settings\jaruna\Data aplikac?\Ijjyjg.exe
.
skenování skrytých souborů ...
.
.
C:\## aswSnx private storage
c:\documents and settings\jaruna\Data aplikací\Ijjyjg.exe 157696 bytes executable
.
sken byl úspešně dokončen
skryté soubory: 2
.
**************************************************************************
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ijjyjg"="c:\\Documents and Settings\\jaruna\\Data aplikací\\Ijjyjg.exe"
.
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\evcgzi]
"ServiceDll"="c:\windows\system32\haweqt.dll"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(1012)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll
.
- - - - - - - > 'lsass.exe'(1068)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll
.
Celkový čas: 2011-10-16 13:30:24
ComboFix-quarantined-files.txt 2011-10-16 11:30
.
Před spuštěním: 1 958 301 696
Po spuštění: 3 427 323 904
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 88F5896DCA1D715D8BBE0A91422862C7

[bledulka]

Pěkný. Já ted nejsem u pc, kde mám návody, takže až večer. Ale máte tam confickera, použili jste na tomto pc nějake usb klíče a pod?

[gutik]

myslim ze ne...

[jaro3]

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected. Poté klikni na Main (hlavní stránku ) a klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

Pokud budou problémy , spusť v nouz. režimu.

[gutik]

Malwarebytes' Anti-Malware
www.malwarebytes.org

Verze databáze:

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

23.10.2011 12:16:01
mbam-log-2011-10-23 (12-15-55).txt

Typ: Rychlá kontrola
Kontrolované objekty: 157174
Uplynulý čas: 4 minut, 5 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 0
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
c:\documents and settings\jaruna\data aplikací\svhost.exe (Backdoor.IRCBot) -> No action taken.

[Žbeky]

- Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Vypni rezidentní štít antiviru a antispywaru
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud bude po kontrole problém spustit aplikace nebo bude vyskakovat hláška o pokusu použít neplatnou operaci na klíč registru, který je označen pro odstranění, stačí restartovat počítač.

[gutik]

ComboFix 11-10-23.01 - jaruna 23.10.2011 13:59:48.2.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.2047.1456 [GMT 2:00]
Spuštěný z: c:\documents and settings\jaruna\Plocha\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\jaruna\Data aplikací\15.exe
c:\documents and settings\jaruna\Data aplikací\34.exe
c:\documents and settings\jaruna\Data aplikací\A.exe
c:\windows\help\tours\htmltour\unlock_playing.htm
c:\windows\msmqinst.log
c:\windows\msxml4-KB954430-enu.LOG
c:\windows\msxml4-KB973688-enu.LOG
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-09-23 do 2011-10-23 )))))))))))))))))))))))))))))))
.
.
2011-10-23 10:10 . 2011-10-23 10:10 -------- d-----w- c:\documents and settings\jaruna\Data aplikací\Malwarebytes
2011-10-23 10:10 . 2011-10-23 10:10 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-10-23 10:10 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-10-23 10:10 . 2011-10-23 10:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-10-17 19:11 . 2011-10-17 19:11 -------- d-----w- c:\documents and settings\jaruna\Local Settings\Data aplikací\Opera
2011-10-17 19:11 . 2011-10-17 19:11 -------- d-----w- c:\program files\Opera
2011-10-17 03:46 . 2011-10-17 03:47 -------- d-----w- c:\windows\ie8updates
2011-10-17 03:45 . 2011-10-17 03:45 -------- d-----w- c:\program files\MSXML 4.0
2011-10-16 18:22 . 2010-05-06 10:35 599040 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2011-10-16 18:22 . 2010-05-06 10:35 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2011-10-16 18:22 . 2010-05-06 10:35 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2011-10-16 18:22 . 2010-05-06 10:35 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2011-10-16 18:22 . 2010-05-06 10:35 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2011-10-16 18:22 . 2010-05-06 10:35 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2011-10-16 18:22 . 2010-05-06 10:35 11076096 -c----w- c:\windows\system32\dllcache\ieframe.dll
2011-10-15 20:09 . 2011-09-06 20:36 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-10-15 20:09 . 2011-09-06 20:37 320856 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-10-15 20:09 . 2011-09-06 20:36 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-10-15 20:09 . 2011-09-06 20:36 52568 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-10-15 20:09 . 2011-09-06 20:38 442200 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-10-15 20:09 . 2011-09-06 20:36 110552 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-10-15 20:09 . 2011-09-06 20:36 104536 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-10-15 20:09 . 2011-09-06 20:33 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-10-15 20:09 . 2011-09-06 20:45 41184 ----a-w- c:\windows\avastSS.scr
2011-10-15 20:09 . 2011-09-06 20:45 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-10-15 20:08 . 2011-10-15 20:08 -------- d-----w- c:\program files\AVAST Software
2011-10-15 20:08 . 2011-10-15 20:08 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVAST Software
2011-10-13 18:12 . 2011-10-18 19:31 -------- d-----w- c:\documents and settings\jaruna\Data aplikací\Program Files
2011-10-09 10:40 . 2011-10-09 10:40 -------- d-----w- c:\documents and settings\jaruna\Data aplikací\dvdcss
2011-10-05 19:29 . 2011-10-13 14:29 -------- d-----w- c:\program files\ICQ7.6
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 17:55 . 2011-03-27 19:24 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-10-16_11.25.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-28 21:42 . 2009-06-28 21:42 91656 c:\windows\WinSxS\x86_Microsoft.MSXML2R_6bd6b9abf345378f_4.1.1.0_x-ww_2a41bceb\msxml4r.dll
+ 2009-03-08 03:31 . 2010-05-06 10:35 55296 c:\windows\system32\msfeedsbs.dll
- 2009-03-08 03:31 . 2009-03-08 03:31 55296 c:\windows\system32\msfeedsbs.dll
- 2004-08-17 14:49 . 2009-03-08 03:33 25600 c:\windows\system32\jsproxy.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 25600 c:\windows\system32\jsproxy.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 25600 c:\windows\system32\dllcache\jsproxy.dll
- 2004-08-17 14:49 . 2009-03-08 03:33 25600 c:\windows\system32\dllcache\jsproxy.dll
+ 2011-10-17 03:45 . 2011-10-17 03:45 32768 c:\windows\Installer\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}\icon.exe
+ 2011-10-17 03:45 . 2011-10-17 03:45 32768 c:\windows\Installer\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}\icon.exe
+ 2011-10-17 03:47 . 2009-03-08 03:33 12288 c:\windows\ie8updates\KB982381-IE8\xpshims.dll
+ 2011-10-17 03:46 . 2009-03-08 03:31 55296 c:\windows\ie8updates\KB982381-IE8\msfeedsbs.dll
+ 2011-10-17 03:46 . 2009-03-08 03:33 25600 c:\windows\ie8updates\KB982381-IE8\jsproxy.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 916480 c:\windows\system32\wininet.dll
- 2004-08-17 14:49 . 2009-03-08 03:33 420352 c:\windows\system32\vbscript.dll
+ 2004-08-17 14:49 . 2010-03-10 06:17 420352 c:\windows\system32\vbscript.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 206848 c:\windows\system32\occache.dll
- 2004-08-17 14:49 . 2009-03-08 03:32 611840 c:\windows\system32\mstime.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 611840 c:\windows\system32\mstime.dll
+ 2009-03-08 03:32 . 2010-05-06 10:35 599040 c:\windows\system32\msfeeds.dll
+ 2004-08-17 14:49 . 2009-12-09 05:55 726528 c:\windows\system32\jscript.dll
- 2004-08-17 14:49 . 2009-03-08 03:33 726528 c:\windows\system32\jscript.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 184320 c:\windows\system32\iepeers.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 387584 c:\windows\system32\iedkcs32.dll
+ 2004-08-17 14:49 . 2010-05-05 13:30 173056 c:\windows\system32\ie4uinit.exe
- 2004-08-17 14:49 . 2009-03-08 03:32 173056 c:\windows\system32\ie4uinit.exe
+ 2004-08-17 14:49 . 2010-05-06 10:35 916480 c:\windows\system32\dllcache\wininet.dll
- 2004-08-17 14:49 . 2009-03-08 03:33 420352 c:\windows\system32\dllcache\vbscript.dll
+ 2004-08-17 14:49 . 2010-03-10 06:17 420352 c:\windows\system32\dllcache\vbscript.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 206848 c:\windows\system32\dllcache\occache.dll
- 2004-08-17 14:49 . 2009-03-08 03:32 611840 c:\windows\system32\dllcache\mstime.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 611840 c:\windows\system32\dllcache\mstime.dll
+ 2004-08-17 14:49 . 2009-12-09 05:55 726528 c:\windows\system32\dllcache\jscript.dll
- 2004-08-17 14:49 . 2009-03-08 03:33 726528 c:\windows\system32\dllcache\jscript.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 184320 c:\windows\system32\dllcache\iepeers.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 387584 c:\windows\system32\dllcache\iedkcs32.dll
+ 2004-08-17 14:49 . 2010-05-05 13:30 173056 c:\windows\system32\dllcache\ie4uinit.exe
- 2004-08-17 14:49 . 2009-03-08 03:32 173056 c:\windows\system32\dllcache\ie4uinit.exe
+ 2011-10-17 03:45 . 2011-10-17 03:45 432640 c:\windows\Installer\23d0952.msi
+ 2011-10-17 03:45 . 2011-10-17 03:45 429568 c:\windows\Installer\23d094a.msi
+ 2011-10-17 03:46 . 2009-03-08 03:34 914944 c:\windows\ie8updates\KB982381-IE8\wininet.dll
+ 2011-10-17 03:47 . 2010-02-22 14:21 391032 c:\windows\ie8updates\KB982381-IE8\spuninst\updspapi.dll
+ 2011-10-17 03:47 . 2008-07-08 12:59 233848 c:\windows\ie8updates\KB982381-IE8\spuninst\spuninst.exe
+ 2011-10-17 03:46 . 2009-03-08 03:34 109568 c:\windows\ie8updates\KB982381-IE8\occache.dll
+ 2011-10-17 03:46 . 2009-03-08 03:32 611840 c:\windows\ie8updates\KB982381-IE8\mstime.dll
+ 2011-10-17 03:46 . 2009-03-08 03:32 594432 c:\windows\ie8updates\KB982381-IE8\msfeeds.dll
+ 2011-10-17 03:47 . 2009-03-08 03:33 246784 c:\windows\ie8updates\KB982381-IE8\ieproxy.dll
+ 2011-10-17 03:46 . 2009-03-08 03:31 183808 c:\windows\ie8updates\KB982381-IE8\iepeers.dll
+ 2011-10-17 03:47 . 2009-03-08 03:35 742912 c:\windows\ie8updates\KB982381-IE8\iedvtool.dll
+ 2011-10-17 03:47 . 2009-03-08 13:09 391536 c:\windows\ie8updates\KB982381-IE8\iedkcs32.dll
+ 2011-10-17 03:47 . 2009-03-08 03:32 173056 c:\windows\ie8updates\KB982381-IE8\ie4uinit.exe
+ 2011-10-17 03:46 . 2009-03-08 03:33 420352 c:\windows\ie8updates\KB981332-IE8\vbscript.dll
+ 2011-10-17 03:46 . 2009-05-26 11:40 391032 c:\windows\ie8updates\KB981332-IE8\spuninst\updspapi.dll
+ 2011-10-17 03:46 . 2009-05-26 11:40 233848 c:\windows\ie8updates\KB981332-IE8\spuninst\spuninst.exe
+ 2011-10-17 03:47 . 2008-07-08 12:59 391032 c:\windows\ie8updates\KB976662-IE8\spuninst\updspapi.dll
+ 2011-10-17 03:47 . 2008-07-08 12:59 233848 c:\windows\ie8updates\KB976662-IE8\spuninst\spuninst.exe
+ 2011-10-17 03:47 . 2009-06-22 06:48 726528 c:\windows\ie8updates\KB976662-IE8\jscript.dll
+ 2011-10-17 03:46 . 2008-07-08 12:59 391032 c:\windows\ie8updates\KB971961-IE8\spuninst\updspapi.dll
+ 2011-10-17 03:46 . 2008-07-08 12:59 233848 c:\windows\ie8updates\KB971961-IE8\spuninst\spuninst.exe
+ 2011-10-17 03:46 . 2009-03-08 03:33 726528 c:\windows\ie8updates\KB971961-IE8\jscript.dll
+ 2009-07-20 22:03 . 2009-07-20 22:03 1348432 c:\windows\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9876.0_x-ww_a621d1d5\msxml4.dll
+ 2008-09-30 14:42 . 2008-09-30 14:42 1286152 c:\windows\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9870.0_x-ww_a32d74cf\msxml4.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 1209344 c:\windows\system32\urlmon.dll
+ 2009-07-20 22:05 . 2009-07-20 22:05 1348432 c:\windows\system32\msxml4.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 5950976 c:\windows\system32\mshtml.dll
+ 2009-03-08 03:32 . 2010-05-06 10:35 1985536 c:\windows\system32\iertutil.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 1209344 c:\windows\system32\dllcache\urlmon.dll
+ 2004-08-17 14:49 . 2010-05-06 10:35 5950976 c:\windows\system32\dllcache\mshtml.dll
+ 2011-10-17 03:46 . 2009-03-08 03:34 1206784 c:\windows\ie8updates\KB982381-IE8\urlmon.dll
+ 2011-10-17 03:46 . 2009-03-08 03:41 5937152 c:\windows\ie8updates\KB982381-IE8\mshtml.dll
+ 2011-10-17 03:46 . 2009-03-08 03:32 1985024 c:\windows\ie8updates\KB982381-IE8\iertutil.dll
+ 2009-03-08 03:39 . 2010-05-06 10:35 11076096 c:\windows\system32\ieframe.dll
+ 2011-10-17 03:46 . 2009-03-08 03:39 11063808 c:\windows\ie8updates\KB982381-IE8\ieframe.dll
.
-- Snímek resetován k současnému datu --
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 20:45 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-03 13545472]
"nwiz"="nwiz.exe" [2008-09-03 1630208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-09-15 815104]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-06-01 823296]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-06-01 974848]
"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_04\bin\jusched.exe" [2004-02-22 32881]
"USB Storage Toolbox"="c:\windows\UMStor\Res.EXE" [2005-09-14 65536]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-11-21 198160]
"RTHDCPL"="RTHDCPL.EXE" [2010-11-16 19722344]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Adobe Reader Speed Launch.lnk - d:\programy\Reader\reader_sl.exe [2005-9-23 29696]
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-1-18 2752512]
Privoxy.lnk - c:\program files\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 250368]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"Shell"= explorer.exe,c:\documents and settings\jaruna\Data aplikací\Vhjyjt.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\CyberLink\\PowerDirector Express\\PDX.exe"=
"c:\\Programme\\iTNC530\\340494\\sys\\bin\\geo.EXE"=
"c:\\Programme\\iTNC530\\340494\\sys\\bin\\ext.EXE"=
"c:\\Programme\\iTNC530\\340494\\sys\\bin\\plc.EXE"=
"c:\\Programme\\iTNC530\\340494\\sys\\bin\\regel.EXE"=
"c:\\Programme\\iTNC530\\340494\\xwin\\bin\\XWin.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\ICQ7.6\\ICQ.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1969:TCP"= 1969:TCP:pldbzo
.
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [16.5.2010 16:04 39680]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [16.5.2010 16:04 35712]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [15.10.2011 22:09 442200]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [15.10.2011 22:09 320856]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [15.10.2011 22:09 20568]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [22.5.2010 17:49 247608]
S1 wueqbzsa;wueqbzsa;\??\c:\windows\system32\drivers\wueqbzsa.sys --> c:\windows\system32\drivers\wueqbzsa.sys [?]
S2 evcgzi;Server Network;c:\windows\system32\svchost.exe -k netsvcs [17.8.2004 16:49 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [30.12.2010 1:42 1691480]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
Obsah adresáře 'Naplánované úlohy'
.
2011-10-23 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-02-04 14:50]
.
2011-10-23 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-26 20:18]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.facebook.com
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\ICQ7.6\ICQ.exe
TCP: Interfaces\{22D6896A-02CC-43C6-86D6-5241039D8151}: NameServer = 213.250.192.1,213.250.194.1
FF - ProfilePath - c:\documents and settings\jaruna\Data aplikací\Mozilla\Firefox\Profiles\158yr678.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://eu.ask.com?o=15425&l=dis
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... r=1.1.9&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 8118
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 8118
FF - prefs.js: network.proxy.type - 1
.
.
------- Asociace souborů -------
.
.scr=AutoCADScriptFile
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-Ijjyjg - c:\documents and settings\jaruna\Data aplikací\Ijjyjg.exe
HKCU-Run-Ljjyjj - c:\documents and settings\jaruna\Data aplikací\Ljjyjj.exe
HKCU-Run-TaskUpdate v1.3 - c:\documents and settings\jaruna\Data aplikací\2.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-23 14:08
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
.
C:\## aswSnx private storage
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\evcgzi]
"ServiceDll"="c:\windows\system32\haweqt.dll"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(1340)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll
.
- - - - - - - > 'lsass.exe'(1400)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll
.
Celkový čas: 2011-10-23 14:12:04
ComboFix-quarantined-files.txt 2011-10-23 12:11
ComboFix2.txt 2011-10-16 11:30
.
Před spuštěním: 7 427 543 040
Po spuštění: 7 397 601 280
.
- - End Of File - - 51E0D5713BEB5BF8BCD2D255900B97CF

[Žbeky]

Tento port máš otevřený naschvál? 1969:TCP
A proxy 127.0.0.1:8118 je taky naschvál?

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"Shell"= explorer.exe
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\evcgzi]

File::
c:\documents and settings\jaruna\Data aplikací\Vhjyjt.exe
c:\windows\system32\drivers\wueqbzsa.sys
c:\documents and settings\jaruna\Data aplikací\Ijjyjg.exe
c:\documents and settings\jaruna\Data aplikací\Ljjyjj.exe
c:\documents and settings\jaruna\Data aplikací\2.exe
c:\windows\Tasks\WGASetup.job

Folder::
c:\program files\ICQ6Toolbar
c:\program files\Ask.com

Driver::
ICQ Service
wueqbzsa
evcgzi
MBAMSwissArmy

Firefox::
FF - ProfilePath - c:\documents and settings\jaruna\Data aplikací\Mozilla\Firefox\Profiles\158yr678.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://eu.ask.com?o=15425&l=dis
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... r=1.1.9&q=


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu