KOntrola počítače

petra82 · Příspěvekod **petra82** » 28 črc 2009 09:29

Dobrý den,

prosím o radu jak zkontrolovat počítač zda v něm nejsou viry. Jelikož mi úplně správně nejede Avast.

Děkuji

Reklama

Příspěvekod **jaro3** » 28 črc 2009 10:16

Návod: viewtopic.php?f=70&t=5119

petra82 · Příspěvekod **petra82** » 28 črc 2009 10:28

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:45, on 28.7.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\System32\odfwbc21.exe
C:\WINDOWS\msauc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatche ... p=aus&qkw=%s&tbid=60308
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60308
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60308
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\0622\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\0622\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPWNTOOLBOX] C:\Program Files\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe "-i"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [odfwbc21] C:\WINDOWS\System32\odfwbc21.exe
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ilotiuere.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0332344312
O16 - DPF: {9100BA25-85A6-4C80-86E9-426D2899F8EF} (WirelessContactHandler Class) - http://xtraz.icq.com/xtraz/products/wir ... ontact.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: confdbg.dll dbgstat.dll ifcstat.dll e1.dll winrkbdc.dll confxxn.dll zxcstat.dll confcnn.dll
O20 - Winlogon Notify: autoplus - C:\WINDOWS\system32\autoplus.dll (file missing)
O20 - Winlogon Notify: drvmgr - drvmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
O20 - Winlogon Notify: odfwbc21 - C:\WINDOWS\System32\odfwbc21.dll (file missing)
O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O20 - Winlogon Notify: xpspqdvd - C:\WINDOWS\system32\xpspqdvd.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 9900 bytes

Příspěvekod **jaro3** » 28 črc 2009 10:59

Toto vypadá..

LSPFix
1) Klikni na následující odkaz pro stažení LSPFix na Tvou pracovní plochu.
http://www.cexx.org/LSPFix.exe

nebo
http://www.cexx.org/lspfix.htm

2) Poté, co se exe soubor na ploše ukáže, poklikej na něj.
3) V levém sloupci se objeví soubor ilotiuere.dll Kliknutím na něj se odkaz zvýrazní, potom klikni na šipku uprostřed obrazovky, který ukazuje na pravou stranu .
Tím se přesune soubor do správného sloupce označeném Odebrat (Remove)

POZNÁMKA: Pokud je šipka je šedá a neumožňuje, abys kliknul, je potřeba zaškrtnout políčko označené "Já vím, co mám dělat" (I know what..)

4) Poté, co byl soubor převeden na Odstranit( remove) sloupce, klepni na tlačítko Dokončit( Finnish) v dolní části obrazovky. Budeš informován na obrazovce že soubor byl odstraněn z Winsock záznamu v registru.Potom zavři LSPFix program .

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

petra82 · Příspěvekod **petra82** » 28 črc 2009 12:35

Malwarebytes' Anti-Malware 1.39
Verze databáze: 2517
Windows 5.1.2600 Service Pack 2

28.7.2009 12:32:07
mbam-log-2009-07-28 (12-31-48).txt

Typ skenu: Rychlý sken
Objektu skenováno: 97093
Uplynulý cas: 18 minute(s), 41 second(s)

Infikované procesy pameti: 2
Infikované pametové moduly: 1
Infikované klíce registru: 4
Infikované hodnoty registru: 4
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 66

Infikované procesy pameti:
C:\WINDOWS\system32\odfwbc21.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\msauc.exe (Trojan.Dropper) -> No action taken.

Infikované pametové moduly:
c:\cp1041.nls (Trojan.Spambot) -> No action taken.

Infikované klíce registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ntldr.sys (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.

Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\odfwbc21 (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass driver (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\WINDOWS\system32\odfwbc21.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\msauc.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\tman32.exe (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\autoplus.exe (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\msssmsda.exe (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\snds_m222.exe (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\advhost.exe (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\sysmwbt.exe (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\xpspqdvd.exe (Malware.Packer) -> No action taken.
c:\WINDOWS\Temp\1835.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\59A8.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\5A50.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\5AA2.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\5D04.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\5D71.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\5DDE.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\5DFD.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\5EF7.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\B0BE.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\BD8A.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\D689.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\D8B7.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\DE15.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\66D7.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6783.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6784.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\67D2.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\67F1.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6810.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6929.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6A33.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6B0D.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6B7A.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6BB9.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6CA3.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6CF2.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6D40.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6EB7.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\70BA.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\70F9.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\73B8.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\5FB3.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\606F.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\60FC.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6159.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6205.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\634D.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\63BA.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\6428.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\64A5.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\64D3.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\659E.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\660C.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\666A.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\7AAD.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\7B3A.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\80C8.tmp (Backdoor.KeyStart) -> No action taken.
c:\WINDOWS\Temp\883A.tmp (Backdoor.KeyStart) -> No action taken.
c:\program files\mozilla firefox\yfmfhm.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\cfi846ar.bmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\digeste.dll (Trojan.Agent) -> No action taken.
c:\cp1041.nls (Trojan.Spambot) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\lv\Local Settings\Temp\0032.exe (Trojan.Agent) -> No action taken.
C:\Program Files\ICQToolbar\0622\toolbaru.dll (Adware.BHO) -> No action taken.

Příspěvekod **jaro3** » 28 črc 2009 13:11

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.

Vypni rez. ochranu u Avastu+ štít u SpywareTerminatoru.

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

petra82 · Příspěvekod **petra82** » 29 črc 2009 07:44

ComboFix 09-07-27.04 - lv 28.07.2009 14:25.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.420.1029.18.223.66 [GMT 2:00]
Spuštěný z: c:\documents and settings\lv\Plocha\ComboFix.exe
AV: avast! antivirus 4.6.665 [VPS 0525-3] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\_000008_.tmp.dll
c:\windows\system32\mklvcv.gfx
c:\windows\wiaserviv.log
c:\windows\wpcjmd.log

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NTLDR.SYS
-------\Legacy_QQD.SYS
-------\Service_qqd.sys

((((((((((((((((((((((((( Soubory vytvořené od 2009-06-28 do 2009-07-28 )))))))))))))))))))))))))))))))
.

2009-07-28 09:56 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-28 09:56 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-28 09:56 . 2009-07-28 09:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-28 08:26 . 2009-07-28 08:26 -------- d-----w- c:\program files\Trend Micro
2009-07-10 05:50 . 2009-07-10 05:51 -------- d-----w- C:\112173ef9cc82c52f36c
2009-06-30 05:28 . 2009-06-30 05:37 -------- dc-h--w- c:\windows\ie8
2009-06-30 05:13 . 2009-06-30 05:13 -------- d-----w- C:\718a91b4c46507a58d64

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-27 05:21 . 2007-06-06 05:08 -------- d-----w- c:\program files\Spyware Terminator
2009-06-30 05:39 . 2007-06-08 05:29 138368 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
2009-06-16 14:55 . 2004-08-18 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:55 . 2004-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-03 19:27 . 2004-08-18 12:00 1293312 ----a-w- c:\windows\system32\quartz.dll
2009-05-07 15:44 . 2004-08-18 12:00 345088 ----a-w- c:\windows\system32\localspl.dll
2007-05-15 19:47 . 2007-05-31 09:35 66672 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2007-05-15 19:47 . 2007-05-31 09:35 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2007-05-15 19:47 . 2007-05-31 09:35 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2007-05-15 19:47 . 2007-05-31 09:35 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2007-05-15 19:47 . 2007-05-31 09:35 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2007-06-18 1694208]
"swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-03-22 313409]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-18 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2005-05-20 98352]
"HPWNTOOLBOX"="c:\program files\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe" [2004-07-01 327680]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-08 148888]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-06-30 2734080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-11-15 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
PC Alert 4.lnk - c:\program files\MSI\PC Alert 4\PCAlert4.exe [2005-6-28 536576]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2005-6-28 331776]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"=
"c:\\Program Files\\Lavasoft\\Ad-Aware SE Personal\\Ad-Aware.exe"=
"c:\\Program Files\\IZArc\\IZArc.exe"=
"c:\\Program Files\\Adobe\\Acrobat 6.0 CE\\Reader\\plug_ins\\Printme\\ConsoleApp.exe"=
"c:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\explorer.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [8.6.2007 7:29 138368]
R3 PCAlertDriver;PCAlertDriver;c:\program files\MSI\PC Alert 4\NTGLM7X.SYS [28.6.2005 19:52 23872]
S0 vkeq;vkeq;c:\windows\system32\drivers\rshysqoz.sys --> c:\windows\system32\drivers\rshysqoz.sys [?]
S2 rxakseyk;rxakseyk;\??\c:\windows\system32\drivers\xxhlgmqzvjl.sys --> c:\windows\system32\drivers\xxhlgmqzvjl.sys [?]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-OM_Monitor - c:\program files\OLYMPUS\OLYMPUS Master\Monitor.exe
HKLM-Run-OM_Monitor - c:\program files\OLYMPUS\OLYMPUS Master\FirstStart.exe
Notify-autoplus - c:\windows\system32\autoplus.dll
Notify-msssmsda - c:\windows\system32\msssmsda.dll
Notify-odfwbc21 - c:\windows\System32\odfwbc21.dll
Notify-xpspqdvd - c:\windows\system32\xpspqdvd.dll
Notify-drvmgr - drvmgr32.dll
Notify-jpgmgr - jpgmgr32.dll
Notify-shfoxpob - (no file)

.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Crawler Search - tbr:iemenu
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
DPF: {9100BA25-85A6-4C80-86E9-426D2899F8EF} - hxxp://xtraz.icq.com/xtraz/products/wir ... ontact.cab
FF - ProfilePath - c:\documents and settings\lv\Data aplikací\Mozilla\Firefox\Profiles\0ko7dmgm.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... id=afex&q=
FF - component: c:\program files\Crawler\Toolbar\firefox\components\xshared.dll
FF - component: c:\program files\Crawler\Toolbar\firefox\components\xsupport.dll
FF - component: c:\program files\Crawler\Toolbar\firefox\components\xwsg.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-28 14:49
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(4088)
c:\cp1467.nls
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Spyware Terminator\sp_rsser.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Celkový čas: 2009-07-28 15:03 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-07-28 13:03

Před spuštěním: Volných bajtů: 66 120 339 456
Po spuštění: Volných bajtů: 69 790 183 424

145 --- E O F --- 2009-07-21 05:31

Příspěvekod **jaro3** » 29 črc 2009 09:46

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
c:\windows\system32\drivers\rshysqoz.sys
c:\windows\system32\drivers\xxhlgmqzvjl.sys

Driver::
rshysqoz
vkeq;vkeq
xxhlgmqzvjl
rxakseyk;rxakseyk

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"SunJavaUpdateSched"=-

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

petra82 · Příspěvekod **petra82** » 29 črc 2009 10:53

ComboFix 09-07-28.01 - lv 29.07.2009 10:20.2.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.420.1029.18.223.86 [GMT 2:00]
Spuštěný z: c:\documents and settings\lv\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\lv\Plocha\CFScript.txt
AV: avast! antivirus 4.6.665 [VPS 0525-3] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
"c:\windows\system32\drivers\rshysqoz.sys"
"c:\windows\system32\drivers\xxhlgmqzvjl.sys"
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-06-28 do 2009-07-29 )))))))))))))))))))))))))))))))
.

2009-07-28 09:56 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-28 09:56 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-28 09:56 . 2009-07-28 09:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-28 08:26 . 2009-07-28 08:26 -------- d-----w- c:\program files\Trend Micro
2009-07-10 05:50 . 2009-07-10 05:51 -------- d-----w- C:\112173ef9cc82c52f36c
2009-06-30 05:28 . 2009-06-30 05:37 -------- dc-h--w- c:\windows\ie8
2009-06-30 05:13 . 2009-06-30 05:13 -------- d-----w- C:\718a91b4c46507a58d64

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-27 05:21 . 2007-06-06 05:08 -------- d-----w- c:\program files\Spyware Terminator
2009-06-30 05:39 . 2007-06-08 05:29 138368 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
2009-06-16 14:55 . 2004-08-18 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:55 . 2004-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-03 19:27 . 2004-08-18 12:00 1293312 ----a-w- c:\windows\system32\quartz.dll
2009-05-07 15:44 . 2004-08-18 12:00 345088 ----a-w- c:\windows\system32\localspl.dll
2007-05-15 19:47 . 2007-05-31 09:35 66672 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2007-05-15 19:47 . 2007-05-31 09:35 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2007-05-15 19:47 . 2007-05-31 09:35 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2007-05-15 19:47 . 2007-05-31 09:35 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2007-05-15 19:47 . 2007-05-31 09:35 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-07-28_12.52.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-29 08:33 . 2009-07-29 08:33 16384 c:\windows\temp\Perflib_Perfdata_580.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2007-06-18 1694208]
"swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-03-22 313409]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-18 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2005-05-20 98352]
"HPWNTOOLBOX"="c:\program files\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe" [2004-07-01 327680]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-06-30 2734080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-11-15 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
PC Alert 4.lnk - c:\program files\MSI\PC Alert 4\PCAlert4.exe [2005-6-28 536576]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2005-6-28 331776]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"=
"c:\\Program Files\\Lavasoft\\Ad-Aware SE Personal\\Ad-Aware.exe"=
"c:\\Program Files\\IZArc\\IZArc.exe"=
"c:\\Program Files\\Adobe\\Acrobat 6.0 CE\\Reader\\plug_ins\\Printme\\ConsoleApp.exe"=
"c:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\explorer.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [8.6.2007 7:29 138368]
R3 PCAlertDriver;PCAlertDriver;c:\program files\MSI\PC Alert 4\NTGLM7X.SYS [28.6.2005 19:52 23872]
S0 vkeq;vkeq;c:\windows\system32\drivers\rshysqoz.sys --> c:\windows\system32\drivers\rshysqoz.sys [?]
S2 rxakseyk;rxakseyk;\??\c:\windows\system32\drivers\xxhlgmqzvjl.sys --> c:\windows\system32\drivers\xxhlgmqzvjl.sys [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Crawler Search - tbr:iemenu
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
DPF: {9100BA25-85A6-4C80-86E9-426D2899F8EF} - hxxp://xtraz.icq.com/xtraz/products/wir ... ontact.cab
FF - ProfilePath - c:\documents and settings\lv\Data aplikací\Mozilla\Firefox\Profiles\0ko7dmgm.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... id=afex&q=
FF - component: c:\program files\Crawler\Toolbar\firefox\components\xshared.dll
FF - component: c:\program files\Crawler\Toolbar\firefox\components\xsupport.dll
FF - component: c:\program files\Crawler\Toolbar\firefox\components\xwsg.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

creating catchme.sys error: Proces nemá přístup k souboru, neboť jej právě využívá jiný proces.
driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-29 10:36
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(676)
c:\cp1467.nls
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Spyware Terminator\sp_rsser.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Celkový čas: 2009-07-29 10:50 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-07-29 08:49
ComboFix2.txt 2009-07-28 13:03

Před spuštěním: Volných bajtů: 69 728 129 024
Po spuštění: Volných bajtů: 69 716 373 504

127 --- E O F --- 2009-07-21 05:31

Příspěvekod **jaro3** » 29 črc 2009 11:17

Stáhni si program OTM (by OldTimer)
http://www.edisk.cz/stahni/07995/OTMove ... .39KB.html
a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services
vkeq
rshysqoz
rxakseyk
xxhlgmqzvjl

:Reg

:Files
c:\cp1467.nls
c:\windows\system32\drivers\rshysqoz.sys 
c:\windows\system32\drivers\xxhlgmqzvjl.sys 

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.

Pak nový log z HJT.

petra82 · Příspěvekod **petra82** » 29 črc 2009 12:11

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver vkeq not found.
Service\Driver vkeq not found.
Service\Driver rshysqoz not found.
Service\Driver rshysqoz not found.
Service\Driver rxakseyk not found.
Service\Driver rxakseyk not found.
Service\Driver xxhlgmqzvjl not found.
Service\Driver xxhlgmqzvjl not found.
========== REGISTRY ==========
========== FILES ==========
File/Folder c:\cp1467.nls not found.
File/Folder c:\windows\system32\drivers\rshysqoz.sys not found.
File/Folder c:\windows\system32\drivers\xxhlgmqzvjl.sys not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33237 bytes

User: lv
->Temp folder emptied: 1626972 bytes
->Temporary Internet Files folder emptied: 49956 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3714672 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 666264 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 5,81 mb

OTM by OldTimer - Version 3.0.0.5 log created on 07292009_115840

Files moved on Reboot...

Registry entries deleted on Reboot...

Příspěvekod **jaro3** » 29 črc 2009 13:10

Zkus toto:
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

sc config F-Secure Automatic Update  start= disabled
sc stop F-Secure Automatic Update 
sc delete F-Secure Automatic Update 
sc config SERVIC~1.EXE  start= disabled
sc stop SERVIC~1.EXE  
sc delete SERVIC~1.EXE

ulož si ho na plochu jako-název remove.bat a ulož ho jako typ všechny soubory , najdi na ploše tento soubor , spusť ho poklepáním.Otevře se Dosovské okno a zavře. Restartuj comp.
******************************************************************************************************************************************
Tu Aviru zase odinstaluj, nech jen ten NOD

Stáhni si Security Check by screen317 z některého odkazu
http://screen317.spywareinfoforum.org/SecurityCheck.exe
http://screen317.changelog.fr/SecurityCheck.exe

ulož si ho na plochu, poklepej na něj a postupuj podle instrukcí v černém okně. Potom se automaticky otevře pozn. Blok, bude mít název checkup.txt. Jeho obsah sem prosím zkopíruj.

Potom ještě nový log z HJT.

KOntrola počítače

KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Re: KOntrola počítače

Kdo je online