Antivir na to nestačí Vyřešeno

[patricia]

Ahoj,
Prosím o pomoc jak se zbavit této havěti.Avast ho ani nezachytil,ale počítač jede pomalu,tak jsem zkusila mway a výsledek vám posílám.Co s nimi?
Díky za pomoc.


Soubor C:\Program Files\D-Tools\daemon.exe je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Program Files\IncrediMail\bin\IncrediMail_Install.exe indentifikován jako "not-a-virus:Downloader.Win32.ImLoader.h". Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\WINDOWS\Installer\{7A27AE24-F5B8-4ABC-B3DA-AB57BC7309FB}\_daemoncp.exe je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.

[Reklama]

[Radix]

Vlož sem log z HiJackThis a někdo se toho ujme. Návod je tady:
viewtopic.php?f=70&t=5119

[patricia]

Tak ještě na doplnění Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 14:50, on 09-01-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICLE.EXE
C:\Program Files\ATITool\ATITool.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\mexe.com
C:\Documents and Settings\Admin\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.gamenext.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: GamesBarBHO Class - {CB0D163C-E9F4-4236-9496-0597E24B23A5} - C:\Program Files\GamesBar\oberontb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Program Files\GamesBar\oberontb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [EPSON Stylus Photo RX585 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICLE.EXE /FU "C:\WINDOWS\TEMP\E_SB8.tmp" /EF "HKCU"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Program Files\GamesBar\oberontb.dll
O9 - Extra 'Tools' menuitem: GamesBar - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Program Files\GamesBar\oberontb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ED3CFC8-996F-4C78-B4F7-943AFB1A5974}: NameServer = 192.168.17.254,193.179.148.42
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe

[jaro3]

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Update Malwarebytes' Anti-Malware (Aktualizace Malwarebytes' Anti-Malware) a Launch Malwarebytes' Anti-Malware (Spustit aplikaci Malwarebytes' Anti-Malware), pokud jo tak klikni na tlačítko Finish
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Perform Quick Scan (Provést rychlý sken) a klikni na tlačítko Scan (Skenovat)
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- pak zvol možnost Save Logfile a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[Tomina]

Počkat počkat..proč mi někdo smázl půlku příspěvku ?? Chtěl jsem poradit a rada byla správná, tak nevím co se tu teď hádáte ?

/smazal jsem to já. rada byla částečně správná, ale bylo tam toho více jinak pokud už si jiný kontrolor rozdělal topic, tak je neslušnému do něj vstupovat. memphisto

/// Co se týká rady ohledně logu HJT, fixnutí problémů ,které jsem vybral by bylo správné, s HJT dělám dnes a denně a nevšiml jsem si, že by měl někdo něco rozdělaného, jen jaro poradil použít Malwarebytes' Anti-Malware program. Pokud se toto bude dělat častěji, donutí nás to posílat rady jen dle SZ či ICQ, protože se tu pak budou všichni hádat kdo má pravdu jak malé děti !! Tomina

[patricia]

Malwarebytes' Anti-Malware 1.33

Verze databáze: 1665
Windows 5.1.2600 Service Pack 2

09-01-18 15:20:52
mbam-log-2009-01-18 (15-20-08).txt

Typ skenu: Rychlý sken
Objektu skenováno: 48706
Uplynulý cas: 2 minute(s), 48 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 11
Infikované hodnoty registru: 1
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 4

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
HKEY_CLASSES_ROOT\oberontb.band (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{ad76633e-e50d-4844-9e7f-4dfbc7c18467} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{daa37aad-f156-4c2c-ac48-3c22ef92ae2f} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\oberontb.band.1 (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> No action taken.

Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\Program Files\GamesBar\oberontb.dll (Adware.Gamesbar) -> No action taken.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken.

[jaro3]

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.

poté odinstaluj:
ICQ Toolbar
GamesBar

Vypni rez. ochranu u Avastu.

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[patricia]

Musela jsem restartovat,ztratil se mi výpis.Tak jsem mbam nechala proběhnout znovu.Výpis je tedy až po restartu.Snad to nevadí.3 položky se vymazaly,až po restartu.

Malwarebytes' Anti-Malware 1.33
Verze databáze: 1665
Windows 5.1.2600 Service Pack 2

09-01-18 16:13:46
mbam-log-2009-01-18 (16-13-46).txt

Typ skenu: Rychlý sken
Objektu skenováno: 48517
Uplynulý cas: 3 minute(s), 17 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

[patricia]

ComboFix 09-01-17.04 - Admin 2009-01-18 16:28:01.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.511.224 [GMT 1:00]
Spuštěný z: c:\documents and settings\Admin\Plocha\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090117-0] *On-access scanning disabled* (Updated)
AV: Panda Antivirus Platinum 7 *On-access scanning disabled* (Outdated)
FW: NVIDIA Firewall *enabled*
FW: Panda Antivirus Platinum 7 *disabled*
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((((( Soubory vytvořené od 2008-12-18 do 2009-01-18 )))))))))))))))))))))))))))))))
.

2009-01-18 15:15 . 2009-01-18 15:15 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-18 15:15 . 2009-01-18 15:15 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-01-18 15:15 . 2009-01-18 15:15 <DIR> d-------- c:\documents and settings\Admin\Data aplikací\Malwarebytes
2009-01-18 15:15 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-18 15:15 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-18 12:01 . 2009-01-18 12:01 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MicroWorld
2009-01-18 12:01 . 2009-01-18 12:01 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-01-18 12:01 . 2009-01-18 12:01 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-01-18 12:01 . 2009-01-18 12:01 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-01-18 12:01 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-01-16 17:49 . 2009-01-16 17:49 <DIR> d-------- c:\documents and settings\Admin\Data aplikací\EPSON
2009-01-16 17:38 . 2009-01-16 17:38 71 --a------ c:\windows\EPSONCD.INI
2009-01-16 17:33 . 2009-01-16 17:33 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\UDL
2009-01-16 17:32 . 2009-01-16 17:32 <DIR> d-------- c:\program files\EPSON Print CD
2009-01-16 17:29 . 2009-01-16 17:29 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\EPSON
2009-01-16 17:29 . 2006-12-08 03:04 76,800 --a------ c:\windows\system32\E_FLBCLE.DLL
2009-01-16 17:29 . 2006-04-19 03:00 62,976 --a------ c:\windows\system32\E_FD4BCLE.DLL
2009-01-16 17:29 . 2004-09-10 21:12 49,152 --a------ c:\windows\system32\E_DCINST.DLL
2009-01-16 17:29 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-01-16 17:29 . 2004-08-03 23:08 31,616 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-01-16 17:29 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-01-16 17:29 . 2004-08-03 23:01 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-01-16 17:29 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-01-16 17:29 . 2004-08-03 22:58 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2009-01-16 17:26 . 2009-01-16 17:33 <DIR> d-------- c:\program files\epson
2009-01-16 17:26 . 2007-07-13 00:00 71,680 --a------ c:\windows\system32\escwiad.dll
2009-01-16 17:26 . 2009-01-16 17:26 26 --a------ c:\windows\CDERX585EXPORT.ini
2009-01-15 18:26 . 2009-01-15 18:27 <DIR> d-------- c:\program files\ICQ6.5
2009-01-15 18:18 . 2009-01-15 18:18 <DIR> d-------- c:\program files\ICQLite
2009-01-06 11:10 . 2009-01-06 11:10 <DIR> d-------- c:\documents and settings\Admin\Data aplikací\Home Sweet Home 2
2008-12-23 15:54 . 2008-12-23 15:54 <DIR> d-------- c:\program files\PhotoFiltre

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-18 15:20 --------- d-----w c:\program files\GamesBar
2009-01-16 16:35 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-16 16:34 --------- d-----w c:\program files\Common Files\InstallShield
2009-01-15 17:26 --------- d-----w c:\documents and settings\Admin\Data aplikací\ICQ
2009-01-15 17:21 --------- d-----w c:\documents and settings\All Users\Data aplikací\GamesBar
2009-01-06 10:40 --------- d-----w c:\program files\Gamenext
2009-01-06 10:37 --------- d---a-w c:\documents and settings\All Users\Data aplikací\TEMP
2009-01-06 10:00 --------- d-----w c:\program files\Oberon Media
2009-01-01 18:53 --------- d-----w c:\program files\Artopik
2008-12-31 20:56 --------- d-----w c:\program files\Penguin Adventure
2008-12-27 17:24 --------- d-----w c:\documents and settings\Admin\Data aplikací\Skype
2008-12-17 18:01 --------- d-----w c:\program files\Native Instruments
2008-12-11 19:25 --------- d-----w c:\documents and settings\All Users\Data aplikací\PlayFirst
2008-12-11 19:25 --------- d-----w c:\documents and settings\Admin\Data aplikací\PlayFirst
2008-12-10 20:21 --------- d-----w c:\documents and settings\All Users\Data aplikací\iWin
2008-12-10 20:21 --------- d-----w c:\documents and settings\Admin\Data aplikací\iWin
2008-12-07 20:49 --------- d-----w c:\program files\Sun
2008-12-07 20:48 --------- d-----w c:\program files\Java
2008-11-28 17:06 5,632 -csha-w c:\program files\Thumbs.db
2008-11-28 15:39 --------- d-----w c:\program files\IrfanView
2008-11-27 19:13 --------- d-----w c:\program files\Common Files\Native Instruments
2008-11-23 20:36 --------- d-----w c:\documents and settings\Admin\Data aplikací\Gamelab
2008-11-18 17:37 --------- d-----w c:\documents and settings\All Users\Data aplikací\MumboJumbo
2008-11-18 17:00 --------- d-----w c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2008-11-18 17:00 --------- d-----w c:\program files\File Scanner Library (Spybot - Search & Destroy)
2008-10-10 18:06 275 -c--a-w c:\program files\options.ini
2008-06-08 15:34 20,997 -c--a-w c:\program files\picformobpicture.jpg
2007-06-10 09:05 160,614 -c--a-w c:\program files\autosave.sav
2006-03-27 17:32 24,559 -c--a-w c:\program files\Uninst.isu
2002-03-08 10:48 5,151 -c--a-w c:\program files\Readme.txt
2002-03-07 16:54 199,044 -c--a-w c:\program files\Anchors Away! - Hard.scn
2002-03-07 16:53 270,994 -c--a-w c:\program files\Milton's Garden - Hard.scn
2002-03-07 16:33 196,864 -c--a-w c:\program files\Partnership Problems - Medium.scn
2002-03-07 16:21 270,796 -c--a-w c:\program files\Debt Free - Medium.scn
2002-03-07 15:03 191,261 -c--a-w c:\program files\mtmanualENG.pdf
2002-03-06 19:10 815,104 ----a-w c:\program files\mall.exe
2002-03-06 19:01 3,308,653 -c--a-w c:\program files\specials.MUK
2002-03-06 15:23 14,306,376 -c--a-w c:\program files\commods.MUK
2002-03-06 15:20 56,483,359 -c--a-w c:\program files\tex.MUK
2002-03-06 15:19 6,354,228 -c--a-w c:\program files\mapobjects.MUK
2002-03-06 10:41 353,953 -c--a-w c:\program files\Prison Break! - Hard.scn
2002-03-06 10:37 254,371 -c--a-w c:\program files\28% Tax Bracket - Easy.scn
2002-03-06 10:33 248,882 -c--a-w c:\program files\Discounters of the Third Kind - Medium.scn
2002-03-06 10:23 185,833 -c--a-w c:\program files\Rolling Hills - Medium.scn
2002-02-27 17:29 11,133 -c--a-w c:\program files\tutorial.res
2002-02-19 12:18 1,623 -c--a-w c:\program files\key_controls.txt
2002-02-07 17:50 13,925 -c--a-w c:\program files\strings.res
2002-02-06 17:11 7,504 -c--a-w c:\program files\options.res
2002-02-05 17:04 6,980 -c--a-w c:\program files\econ.res
2002-01-30 17:43 21,209 -c--a-w c:\program files\malltyc.res
2002-01-18 12:05 182,987 -c--a-w c:\program files\End Of An Era - Easy.scn
2002-01-17 18:59 190,500 -c--a-w c:\program files\HUGE... tracts of land! - Hard.scn
2002-01-17 17:11 262,151 -c--a-w c:\program files\Discounters of the Third Kind - Medium.tex
2002-01-17 14:41 349,527 -c--a-w c:\program files\Layout L.tex
2002-01-17 14:41 349,527 -c--a-w c:\program files\Layout K.tex
2002-01-17 14:41 349,527 -c--a-w c:\program files\Layout J.tex
2002-01-17 14:41 349,527 -c--a-w c:\program files\Layout I.tex
2002-01-17 14:41 349,527 -c--a-w c:\program files\Layout H.tex
2002-01-17 14:41 349,527 -c--a-w c:\program files\Layout G.tex
2002-01-17 14:41 349,527 -c--a-w c:\program files\Layout F.tex
2002-01-17 14:41 349,527 -c--a-w c:\program files\Layout E.tex
2002-01-17 14:40 349,527 -c--a-w c:\program files\Layout D.tex
2002-01-17 14:40 349,527 -c--a-w c:\program files\Layout C.tex
2002-01-17 14:40 349,527 -c--a-w c:\program files\Layout B.tex
2002-01-17 14:40 349,527 -c--a-w c:\program files\Layout A.tex
2002-01-17 14:33 181,492 -c--a-w c:\program files\Layout L.scn
2002-01-17 14:16 189,193 -c--a-w c:\program files\Layout K.scn
2002-01-17 14:10 168,407 -c--a-w c:\program files\Layout J.scn
2002-01-17 14:01 205,275 -c--a-w c:\program files\Layout I.scn
2002-01-17 13:53 210,739 -c--a-w c:\program files\Layout H.scn
2002-01-17 13:29 243,368 -c--a-w c:\program files\Layout G.scn
2002-01-17 13:26 268,359 -c--a-w c:\program files\Layout F.scn
2002-01-17 13:19 179,449 -c--a-w c:\program files\Layout E.scn
2002-01-17 13:08 349,527 -c--a-w c:\program files\Partnership Problems - Medium.tex
2002-01-17 13:07 349,527 -c--a-w c:\program files\Milton's Garden - Hard.tex
2002-01-17 13:07 349,527 -c--a-w c:\program files\End Of An Era - Easy.tex
2002-01-17 13:07 349,527 -c--a-w c:\program files\Debt Free - Medium.tex
2002-01-17 13:07 349,527 -c--a-w c:\program files\28% Tax Bracket - Easy.tex
2002-01-17 13:06 349,527 -c--a-w c:\program files\Rolling Hills - Medium.tex
2002-01-17 13:06 349,527 -c--a-w c:\program files\Prison Break! - Hard.tex
2002-01-17 13:05 260,771 -c--a-w c:\program files\Layout D.scn
2002-01-16 20:41 251,385 -c--a-w c:\program files\Layout A.scn
2002-01-16 20:37 169,662 -c--a-w c:\program files\Layout C.scn
2002-01-16 20:34 230,908 -c--a-w c:\program files\Layout B.scn
2002-01-16 19:55 158,362 -c--a-w c:\program files\Free Build - 2000s.scn
2002-01-16 19:54 158,362 -c--a-w c:\program files\Free Build - 1990s.scn
2002-01-16 19:53 158,362 -c--a-w c:\program files\Free Build - 1980s.scn
2002-01-16 19:52 158,362 -c--a-w c:\program files\Free Build - 1970s.scn
2002-01-16 19:51 158,362 -c--a-w c:\program files\Free Build - 1960s.scn
2002-01-16 01:42 5,386,706 -c--a-w c:\program files\storefronts.MUK
2002-01-15 17:22 320 -c--a-w c:\program files\cdlist.txt
2002-01-15 16:39 7,382,801 -c--a-w c:\program files\people.MUK
2002-01-15 15:43 25,970,851 -c--a-w c:\program files\s.MUK
2002-01-15 15:42 9,453,033 -c--a-w c:\program files\atriums.MUK
2002-01-14 16:18 7,920 -c--a-w c:\program files\build.res
2002-01-14 16:18 18,026 -c--a-w c:\program files\store.res
2002-01-14 16:17 5,654 -c--a-w c:\program files\mall.res
2002-01-11 22:53 162,271 -c--a-w c:\program files\lifts.MUK
2002-01-11 19:41 5,843,814 -c--a-w c:\program files\splash.MUK
2002-01-11 19:41 10,372,393 -c--a-w c:\program files\scenery.MUK
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"ICQ"="c:\progra~1\ICQ6.5\ICQ.exe" [2008-11-30 172792]
"EPSON Stylus Photo RX585 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICLE.EXE" [2007-03-30 182272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-04-29 266240]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-11-08 128920]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 c:\windows\SOUNDMAN.EXE]
"ATIPTA"="atiptaxx.exe" [2005-09-15 c:\windows\system32\atiptaxx.exe]
"CHotkey"="mHotkey.exe" [2002-07-23 c:\windows\mHotkey.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"VIDC.HFYU"= huffyuv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0 \??\c:\docume~1\ALLUSE~1\DATAAP~1\SPYWAR~1\sp_rsdel.dat\0

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a--c--- 2002-11-02 07:33 45056 c:\program files\Elaborate Bytes\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2002-12-02 15:17 73728 c:\program files\Elaborate Bytes\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
-----c--- 2005-01-03 11:41 1385472 c:\program files\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch Ai Booster]
--a--c--- 2005-05-05 17:31 3632640 c:\program files\ASUS\Ai Booster\OverClk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"TapiSrv"=3 (0x3)
"InCDsrv"=2 (0x2)
"helpsvc"=2 (0x2)
"GhostStartService"=2 (0x2)
"ERSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\OpenArena\\ioquake3.x86.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-06 111184]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-06 20560]
S0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [2003-04-27 8704]
S3 ComFiltr;Panda Anti-Dialer;\??\c:\windows\system32\DRIVERS\COMFiltr.sys --> c:\windows\system32\DRIVERS\COMFiltr.sys [?]
S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\Admin\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\Admin\LOCALS~1\Temp\mdxgthkn.sys [?]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - InCDrec
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
MSConfigStartUp-GhostStartTrayApp - c:\program files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
MSConfigStartUp-ICQ Lite - c:\program files\ICQLite\ICQLite.exe


.
------- Doplňkový sken -------
.
uStart Page = hxxp://start.gamenext.com
uInternet Connection Wizard,ShellNext = iexplore
IE: Download all by Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Download by Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Download selected by Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Download web site by Free Download Manager - file://c:\program files\Free Download Manager\dlpage.htm
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
TCP: {8ED3CFC8-996F-4C78-B4F7-943AFB1A5974} = 192.168.17.254,193.179.148.42

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\documents and settings\Admin\Data aplikací\Mozilla\Firefox\Profiles\fikcyg2p.default\
FF - prefs.js: browser.search.selectedEngine - Jyxo.cz
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - plugin: c:\program files\Mozilla Firefox\plugins\nppopcaploader.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-18 16:29:32
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\windows\SYSTEM32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(844)
c:\windows\system32\nvappfilter.dll
.
Celkový čas: 2009-01-18 16:31:17
ComboFix-quarantined-files.txt 2009-01-18 15:30:53

Před spuštěním: 900,603,904
Po spuštění: 1,809,596,416

266

[jaro3]

START-spustit-napiš=cmd.exe-dej OK- v dosovém okně vlož toto:
sc stop COMFiltr
sc delete COMFiltr
sc stop mdxgthkn
sc delete mdxgthkn
exit

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\windows\system32\eEmpty.exe
c:\windows\CDERX585EXPORT.ini

Folder::
c:\program files\GamesBar

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000000

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Toto znáš: c:\program files\picformobpicture.jpg ?

[patricia]

Nevím kde jsem udělala chybu,ale tohle se mi nepovedlo.Na závěr mi vyskočilo modré okno,ale nic se do něho nezapsalo.Nešlo by to provést jinak.Tohle asi nezvládnu.Dík.

[jaro3]

Ten script nešel? Zkus ho ještě jednou , nezapomeň předtím deaktivovat antivir ( Avast).