Problém z winsys.exe..... Vyřešeno

[mimi]

Skúsil som iba tak zo zvedavosti Spyware Terminátor.Ten mi pri skene PC označil ako trojana WinSys.exe.Dal som ho otestovať na stránke Virustotal,ale tam je to všetko absolútne čisté.Tiež som si to overoval na stránke Processlibrary,ale tu to znovu vyhodnotil ako možné Spyware/Trojan,Neviem či to možem zmazať alebo je to falošný poplach.Posielam log z HiJackThis,ale tam ho nikde nevidím.....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:33:06, on 13.3.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Lexmark 2600 Series\lxdnmon.exe
C:\Program Files\VibrateGameDeviceDriver\RFPIcon.exe
C:\WINDOWS\vVX1000.exe
C:\Program Files\Lexmark 2600 Series\lxdnMsdMon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxdncoms.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Program Files\Lexmark 2600 Series\lxdnmon.exe"
O4 - HKLM\..\Run: [lxdnamon] "C:\Program Files\Lexmark 2600 Series\lxdnamon.exe"
O4 - HKLM\..\Run: [RTBatteryMeter] C:\Program Files\VibrateGameDeviceDriver\RFPIcon.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FreeRapid 0.83u1.lnk = C:\Program Files\FreeRapid-0.83u1\frd.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: COMODO livePCsupport Service (CLPSLS) - COMODO - C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe
O23 - Service: Služba Google Update (gupdate1ca897a8e401de4) (gupdate1ca897a8e401de4) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnserv.exe
O23 - Service: lxdn_device - - C:\WINDOWS\system32\lxdncoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6358 bytes

[Reklama]

[jaro3]

http://www.processlibrary.com/directory/files/winsys/

Používáš celý balík COMODO Internet Security?
Potom odinstaluj:
Avast5
Spybot - Search & Destroy

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[mimi]

Comodo používam iba ako Firewall,a Spybot bez TeaTimeru.

Malwarebytes' Anti-Malware 1.44
Verzia databázy: 3862
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.3.2010 9:49:34
mbam-log-2010-03-13 (09-49-34).txt

Typ kontroly: Úplná (C:\|)
Objektov kontrolovaných: 159876
Uplynutý cas: 46 minute(s), 37 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 0
Infikovaných registracných hodnôt: 0
Infikovaných registracných údajov položiek: 0
Infikovaných priecinkov: 0
Infikovaných súborov: 0

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
(Žiadne škodlivé položky)

Infikovaných registracných hodnôt:
(Žiadne škodlivé položky)

Infikovaných registracných údajov položiek:
(Žiadne škodlivé položky)

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
(Žiadne škodlivé položky)

[jaro3]

Stáhni si TDSSKiller

Na svojí plochu.Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.
//////////////////////////////////////////////////////////////////////////////////////////

Stáhni si windatfindbat of Karl83

Rozbal do složky, otevři jí poklepej na ní (ve vistě a win7 spusť jako správce). Otevře se okno DOS a posléze se objeví log.Jinak je pod názvem dirdat.txt v C:\ . Vlož sem prosím obsah toho logu, můžeš vybrat jen ty za poslední 3 měsíce.

[mimi]

Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je E805-E4E1.

Výpis adresáře C:\

13.03.2010 11:15 0 dirdat.txt
13.03.2010 07:26 53 biosinfo
13.03.2010 07:25 2 145 386 496 pagefile.sys
01.03.2010 17:56 9 522 v_10414358.jpg
18.02.2010 15:28 3 337 806 sined grafit.bmp
12.02.2010 21:37 281 boot.ini
10.02.2010 17:16 3 337 806 pc.bmp
30.12.2009 17:09 250 576 ntldr
30.12.2009 15:16 0 CONFIG.SYS
30.12.2009 15:16 0 IO.SYS
30.12.2009 15:16 0 MSDOS.SYS
03.08.2004 21:38 47 564 NTDETECT.COM
25.10.2001 15:00 4 952 Bootfont.bin
13 souborů, 2 152 375 056 bajtů
Adresářů: 0, Volných bajtů: 25 729 806 336
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je E805-E4E1.

Výpis adresáře C:\WINDOWS\system32

13.03.2010 07:26 2 206 wpa.dbl
13.03.2010 07:25 0 nvapps.xml
12.03.2010 18:03 117 360 FNTCACHE.DAT
09.03.2010 15:40 2 566 CONFIG.NT
09.03.2010 12:24 153 184 aswBoot.exe
03.03.2010 19:54 276 648 guard32.dll
02.03.2010 06:30 31 648 712 MRT.exe
27.02.2010 11:40 7 168 user_words.db
24.02.2010 05:17 8 138 TZLog.log
11.02.2010 19:53 38 848 avastSS.scr
23.01.2010 09:11 46 080 tzchange.exe
17.01.2010 16:05 80 312 LexFiles.ulf
31.12.2009 13:23 107 888 CmdLineExt.dll
30.12.2009 19:26 56 ezsidmv.dat
30.12.2009 18:38 148 888 javaws.exe
30.12.2009 18:38 144 792 javaw.exe
30.12.2009 18:38 73 728 javacpl.cpl
30.12.2009 18:38 144 792 java.exe
30.12.2009 18:38 410 984 deploytk.dll
30.12.2009 18:24 16 832 amcompat.tlb
30.12.2009 18:24 23 392 nscompat.tlb
30.12.2009 18:17 432 356 perfh009.dat
30.12.2009 18:17 67 312 perfc009.dat
30.12.2009 18:17 428 750 perfh005.dat
30.12.2009 18:17 77 872 perfc005.dat
30.12.2009 18:17 1 020 324 PerfStringBackup.INI
30.12.2009 17:27 269 spupdwxp.log
30.12.2009 16:11 0 h323log.txt
30.12.2009 15:19 261 $winnt$.inf
30.12.2009 15:15 488 WindowsLogon.manifest
30.12.2009 15:15 488 logonui.exe.manifest
30.12.2009 15:15 749 nwc.cpl.manifest
30.12.2009 15:15 749 cdplayer.exe.manifest
30.12.2009 15:15 749 wuaucpl.cpl.manifest
30.12.2009 15:15 749 ncpa.cpl.manifest
30.12.2009 15:15 749 sapi.cpl.manifest
30.12.2009 15:13 21 812 emptyregdb.dat
21.12.2009 20:08 916 480 wininet.dll
21.12.2009 20:08 1 208 832 urlmon.dll
21.12.2009 20:08 5 942 784 mshtml.dll
21.12.2009 20:08 206 848 occache.dll
21.12.2009 20:08 1 469 440 inetcpl.cpl
21.12.2009 20:08 1 985 536 iertutil.dll
21.12.2009 20:08 25 600 jsproxy.dll
21.12.2009 20:08 55 296 msfeedsbs.dll
21.12.2009 20:08 594 432 msfeeds.dll
21.12.2009 20:08 184 320 iepeers.dll
21.12.2009 20:08 11 070 464 ieframe.dll
21.12.2009 20:08 387 584 iedkcs32.dll
21.12.2009 14:18 173 056 ie4uinit.exe
17.12.2009 08:42 343 552 mspaint.exe
14.12.2009 08:10 33 280 csrsrv.dll
09.12.2009 11:11 2 147 328 ntoskrnl.exe
09.12.2009 11:11 2 025 984 ntkrnlpa.exe
09.12.2009 06:55 726 528 jscript.dll
08.12.2009 10:25 474 112 shlwapi.dll
27.11.2009 18:14 1 294 336 quartz.dll
27.11.2009 18:14 17 920 msyuv.dll
27.11.2009 17:09 8 704 tsbyuv.dll
27.11.2009 17:09 2
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je E805-E4E1.

Výpis adresáře C:\WINDOWS

13.03.2010 10:05 996 547 WindowsUpdate.log
13.03.2010 07:25 0 0.log
13.03.2010 07:25 159 wiadebug.log
13.03.2010 07:25 49 wiaservc.log
13.03.2010 07:25 2 048 bootstat.dat
12.03.2010 23:55 32 434 SchedLgU.Txt
12.03.2010 14:58 540 win.ini
18.02.2010 20:26 24 AM_D8.PRF
12.02.2010 21:45 227 system.ini
12.02.2010 19:54 0 Sti_Trace.log
26.01.2010 17:55 1 587 rna
18.01.2010 15:21 1 132 disney.ini
18.01.2010 15:06 176 disneysy.ini
30.12.2009 18:34 0 nsreg.dat
30.12.2009 15:26 0 msicpl.ini
30.12.2009 15:16 0 control.ini
30.12.2009 15:16 316 640 WMSysPr9.prx
30.12.2009 15:16 4 249 ODBCINST.INI
30.12.2009 15:15 749 WindowsShell.Manifest
30.12.2009 15:13 37 vbaddin.ini
30.12.2009 15:13 36 vb.ini
04.11.2009 19:00 38 avisplitter.ini
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je E805-E4E1.

Výpis adresáře C:\DOCUME~1\DENISK~1\LOCALS~1\Temp

13.03.2010 11:15 282 lxdnscan.log
13.03.2010 07:30 401 jusched.log
12.03.2010 15:12 0 geColladaModelCacheLock
12.03.2010 15:12 0 geIconCacheLock
12.03.2010 09:50 92 160 nsmail.tmp
12.03.2010 09:50 204 nsmail-1.txt
6 souborů, 93 047 bajtů
Adresářů: 0, Volných bajtů: 25 729 662 976

[jaro3]

Vypni rez. ochranu u Avastu + deaktivuj COMODO firewal a Spybot.
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[mimi]

ComboFix 10-03-12.04 - Denisko a Lenka 13.03.2010 11:44:04.2.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2047.1429 [GMT 1:00]
Spuštěný z: c:\documents and settings\Denisko a Lenka\Plocha\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-02-13 do 2010-03-13 )))))))))))))))))))))))))))))))
.

2010-03-13 07:58 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-13 07:58 . 2010-03-13 07:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-13 07:58 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-12 13:58 . 2005-11-30 20:20 2314332 ----a-w- c:\windows\system32\Libmmd.dll
2010-03-12 13:58 . 2010-03-12 13:58 -------- d-----w- c:\program files\VDJ5
2010-03-12 12:07 . 2010-03-12 12:07 -------- d-----w- c:\program files\VirtualDJ
2010-03-11 14:14 . 2010-03-11 14:14 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-03-10 09:38 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-03-07 08:32 . 2010-03-07 08:32 -------- d-----w- c:\program files\CCleaner
2010-03-07 08:10 . 2010-03-09 11:12 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-03-07 08:10 . 2010-03-09 11:09 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-03-07 08:10 . 2010-03-09 11:08 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-03-07 08:10 . 2010-03-09 11:12 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-03-07 08:10 . 2010-03-09 11:08 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-03-07 08:10 . 2010-03-09 11:08 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-03-07 08:10 . 2010-03-09 11:08 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-03-07 08:10 . 2010-03-09 11:24 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-03-07 08:10 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-03-07 08:10 . 2010-03-07 08:10 -------- d-----w- c:\program files\Alwil Software
2010-03-07 08:00 . 2010-03-07 08:01 -------- d-----w- c:\program files\COMODO
2010-03-03 18:54 . 2010-03-03 18:54 276648 ----a-w- c:\windows\system32\guard32.dll
2010-03-03 18:54 . 2010-03-03 18:54 86720 ----a-w- c:\windows\system32\drivers\inspect.sys
2010-03-03 18:54 . 2010-03-03 18:54 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2010-03-03 18:54 . 2010-03-03 18:54 214056 ----a-w- c:\windows\system32\drivers\cmdGuard.sys
2010-03-03 18:54 . 2010-03-03 18:54 15376 ----a-w- c:\windows\system32\drivers\cmderd.sys
2010-03-01 13:44 . 2010-03-01 13:48 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-25 14:53 . 2010-02-25 14:53 -------- d--h--we c:\documents and settings\All Users\AVP9
2010-02-21 08:35 . 2010-02-21 08:35 -------- d-----w- c:\program files\Quicksys
2010-02-18 20:26 . 2009-08-24 20:08 28160 ----a-w- c:\windows\system32\DfSdkBt.exe
2010-02-18 19:25 . 2010-03-08 12:53 -------- d-----w- c:\program files\Graffiti Studio 2.0

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-13 09:46 . 2009-12-30 18:28 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-03-07 18:43 . 2009-12-30 14:42 -------- d-----w- c:\program files\Abbyy FineReader 6.0 Sprint
2010-03-03 09:47 . 2009-12-30 18:20 -------- d-----w- c:\program files\Mozilla Sunbird
2010-03-01 14:08 . 2010-01-26 18:02 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-02-27 10:30 . 2010-01-23 07:52 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-26 13:55 . 2009-12-30 14:33 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-09 20:16 . 2009-12-30 17:43 -------- d-----w- c:\program files\Ashampoo
2010-02-07 20:37 . 2010-02-07 20:37 -------- d-----w- c:\program files\DsNET Corp
2010-01-30 18:06 . 2010-01-30 18:06 -------- d-----w- c:\program files\AGEIA Technologies
2010-01-30 17:31 . 2009-12-30 18:04 -------- d-----w- c:\program files\Google
2010-01-25 20:26 . 2010-01-25 19:57 84993 ----a-w- c:\windows\system32\drivers\sfi.dat
2010-01-24 19:53 . 2010-01-24 19:53 -------- d-----w- c:\program files\Trend Micro
2010-01-20 20:14 . 2010-01-20 20:14 -------- d-----w- c:\program files\IZArc
2010-01-18 14:20 . 2010-01-18 14:20 -------- d-----w- c:\program files\Disney Interactive
2010-01-12 20:14 . 2010-01-12 20:14 -------- d-----w- c:\program files\uTorrent
2010-01-12 16:56 . 2009-12-30 19:26 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2010-01-12 16:56 . 2010-01-12 16:56 -------- d-----w- c:\program files\VSO
2009-12-31 16:50 . 2004-08-03 21:14 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-31 12:23 . 2009-12-31 12:23 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-12-30 18:26 . 2009-12-30 18:26 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-30 17:38 . 2009-12-30 17:38 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-12-30 17:34 . 2009-12-30 17:34 0 -c--a-w- c:\windows\nsreg.dat
2009-12-30 17:17 . 2001-10-25 14:00 77872 ----a-w- c:\windows\system32\perfc005.dat
2009-12-30 17:17 . 2001-10-25 14:00 428750 ----a-w- c:\windows\system32\perfh005.dat
2009-12-30 16:24 . 2009-12-30 14:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-30 16:24 . 2009-12-30 14:16 2740 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2009-12-30 16:22 . 2009-12-30 14:16 8972 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2009-12-30 14:13 . 2009-12-30 14:13 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-21 19:08 . 2004-08-17 13:49 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 07:42 . 2009-12-30 14:12 343552 -c--a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2004-08-17 13:49 33280 ----a-w- c:\windows\system32\csrsrv.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-05-25 6746112]
"nwiz"="nwiz.exe" [2005-05-25 1519616]
"SW20"="c:\windows\system32\sw20.exe" [2005-06-30 200704]
"SW24"="c:\windows\system32\sw24.exe" [2005-07-04 69632]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-05-25 86016]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 90112]
"lxdnmon.exe"="c:\program files\Lexmark 2600 Series\lxdnmon.exe" [2008-03-27 660136]
"lxdnamon"="c:\program files\Lexmark 2600 Series\lxdnamon.exe" [2008-03-27 16040]
"RTBatteryMeter"="c:\program files\VibrateGameDeviceDriver\RFPIcon.exe" [2003-01-16 49152]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-03-03 1983760]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-03-09 2769336]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lxdncoms.exe"=
"c:\\Program Files\\Lexmark 2600 Series\\lxdnamon.exe"=
"c:\\Program Files\\Lexmark 2600 Series\\frun.exe"=
"c:\\Program Files\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"=
"c:\\Program Files\\Lexmark 2600 Series\\lxdnmon.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnpswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdntime.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnjswx.exe"=
"c:\\pc hry\\EA Games\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"c:\\Program Files\\Lexmark 2600 Series\\Diagnostics\\LXDNdiag.exe"=
"c:\\pc hry\\EA Sports\\NHL 09\\nhl2009.exe"=
"c:\\Program Files\\Lexmark 2600 Series\\lxdnlscn.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [7.3.2010 9:10 162640]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [3.3.2010 19:54 214056]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [3.3.2010 19:54 25160]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [7.3.2010 9:10 19024]
R2 CLPSLS;COMODO livePCsupport Service;c:\program files\COMODO\COMODO livePCsupport\CLPSLS.exe [12.2.2010 19:23 148744]
R2 lxdn_device;lxdn_device;c:\windows\system32\lxdncoms.exe -service --> c:\windows\system32\lxdncoms.exe -service [?]
S2 gupdate1ca897a8e401de4;Služba Google Update (gupdate1ca897a8e401de4);c:\program files\Google\Update\GoogleUpdate.exe [30.12.2009 19:04 133104]
S2 lxdnCATSCustConnectService;lxdnCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdnserv.exe [30.12.2009 15:44 98984]
S3 DfSdkS;Defragmentation-Service;c:\program files\Ashampoo\Ashampoo WinOptimizer 6\DfSdkS.exe [18.2.2010 21:26 406016]
S3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\DynCal.sys [14.11.2003 3:46 8192]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
.
Obsah adresáře 'Naplánované úlohy'

2010-03-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-30 18:04]

2010-03-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-30 18:04]
.
.
------- Doplňkový sken -------
.
FF - ProfilePath - c:\documents and settings\Denisko a Lenka\Data aplikací\Mozilla\Firefox\Profiles\6cr8svwo.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://sk.start3.mozilla.com/firefox?cl ... k:official
FF - prefs.js: keyword.URL -
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".sk");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************
skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory:

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1644491937-2139871995-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:65,d6,9b,18,58,2c,6e,7a,d5,e4,e5,0d,0a,b4,91,c2,29,56,d0,ca,9b,
f4,b6,4d,27,74,2e,72,f5,0f,0b,6e,83,26,e5,46,89,2d,03,d7,a1,32,00,b1,f2,f8,\
"rkeysecu"=hex:dd,61,6b,fa,f7,f4,4f,b5,d0,8c,63,2a,a0,cd,c6,ca
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(592)
c:\windows\system32\guard32.dll

- - - - - - - > 'lsass.exe'(648)
c:\windows\system32\guard32.dll

- - - - - - - > 'explorer.exe'(3144)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-03-13 11:48:56
ComboFix-quarantined-files.txt 2010-03-13 10:48

Před spuštěním: Volných bajtů: 25 638 719 488
Po spuštění: Volných bajtů: 25 619 980 288

- - End Of File - - 50DDB915B7AD2B8DF86BA6D33F0DB54A

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
c:\windows\system32\drivers\avgntflt.sys
c:\windows\system32\ezsidmv.dat
c:\windows\nsreg.dat

Driver::
avgntflt
SetupNTGLM7X

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\windows\system32\drivers\cmderd.sys
Pokud už byl soubor testován-klikni na otestovat znovu.

Vlož sem pak odkaz na stránku s výsledky.
/////////////////////////////////////////////////////////////////////////////////////////////
Start-spustit-napiš: notepad ,do něho vlož tento celý text:

Kód: Vybrat vše

dir \winSys.exe /a h /s > File.txt

uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

[mimi]

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.13 -
AhnLab-V3 5.0.0.2 2010.03.12 -
AntiVir 8.2.1.180 2010.03.12 -
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.13 -
Avast5 5.0.332.0 2010.03.13 -
AVG 9.0.0.787 2010.03.13 -
BitDefender 7.2 2010.03.13 -
CAT-QuickHeal 10.00 2010.03.13 -
ClamAV 0.96.0.0-git 2010.03.13 -
Comodo 4249 2010.03.13 -
DrWeb 5.0.1.12222 2010.03.13 -
eSafe 7.0.17.0 2010.03.11 -
eTrust-Vet 35.2.7359 2010.03.12 -
F-Prot 4.5.1.85 2010.03.12 -
F-Secure 9.0.15370.0 2010.03.13 -
Fortinet 4.0.14.0 2010.03.13 -
GData 19 2010.03.13 -
Ikarus T3.1.1.80.0 2010.03.13 -
Jiangmin 13.0.900 2010.03.13 -
K7AntiVirus 7.10.996 2010.03.12 -
Kaspersky 7.0.0.125 2010.03.13 -
McAfee 5918 2010.03.12 -
McAfee+Artemis 5918 2010.03.12 -
McAfee-GW-Edition 6.8.5 2010.03.13 -
Microsoft 1.5502 2010.03.12 -
NOD32 4941 2010.03.13 -
Norman 6.04.08 2010.03.13 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.13 -
PCTools 7.0.3.5 2010.03.13 -
Prevx 3.0 2010.03.13 -
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.13 -
Sunbelt 5856 2010.03.13 -
Symantec 20091.2.0.41 2010.03.13 -
TheHacker 6.5.2.0.232 2010.03.13 -
TrendMicro 9.120.0.1004 2010.03.13 -
VBA32 3.12.12.2 2010.03.12 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.13 -
Additional information
File size: 15376 bytes
MD5...: 26b588f5c16e9bca8dbb8515c21efac1
SHA1..: 50bffa5ca4ebfb0c50252e9d366146234de5ab00
SHA256: d66b6c662491d6432ee991bd38fba122fa2ada2f7cb79b5af1db5790c24291d6
ssdeep: 192:aw7ht2NMuc2YDFY8tba97Nnfjk9147JbY1ZVPIgyowJL/aMjGwP70MIL+ebM
c9a1:nL32WFYGba9pfje17JDYJLWhdbR9a6jg
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x193e
timedatestamp.....: 0x4b8e96a4 (Wed Mar 03 17:04:36 2010)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x1296 0x1300 6.14 e82ec7ae1433d92fef92291e209c47a8
.rdata 0x1780 0xd6 0x100 4.11 41a075f3ded4c6c1b735c9b1f20ea1b5
.data 0x1880 0xc 0x80 0.72 d4dbafa8521721f1bb8f01e533df335d
INIT 0x1900 0x2a0 0x300 4.91 ba5bde16a5b96b2f97001ccc469e15dd
.rsrc 0x1c00 0x400 0x400 3.40 72cfdd4db3cd051465febeff927c8b51
.reloc 0x2000 0x11c 0x180 4.56 0d98171570d9b6314646ecb57e4f752b

( 1 imports )
> ntoskrnl.exe: ZwQueryFullAttributesFile, RtlInitUnicodeString, memset, ZwClose, ZwSetInformationFile, ZwQueryInformationFile, ZwCreateFile, ZwQueryDirectoryFile, ExFreePoolWithTag, ExAllocatePoolWithTag, memcpy, ZwReadFile, ZwWriteFile, ZwDeleteValueKey, RtlFreeUnicodeString, ZwQueryValueKey, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwOpenKey, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, KeTickCount

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win16/32 Executable Delphi generic (25.4%)
Clipper DOS Executable (24.8%)
Generic Win/DOS Executable (24.6%)
DOS Executable Generic (24.6%)
VXD Driver (0.3%)
sigcheck:
publisher....: COMODO
copyright....: 2005-2010 COMODO. All rights reserved.
product......: COMODO Internet Security Eradication Driver
description..: COMODO Internet Security Eradication Driver
original name: cmderd.sys
internal name: cmderd.sys
file version.: 4, 0, 135239, 742 built by: WinDDK
comments.....: n/a
signers......: Comodo Security Solutions
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 6:46 PM 3/3/2010
verified.....: -

Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je E805-E4E1.

Výpis adresáře C:\WINDOWS\system32

04.10.2004 08:59 135 168 WinSys.exe
1 souborů, 135 168 bajtů

[jaro3]

ok. nedal si sem ten log z Combofixu (script).

Stáhni si program OTM (by OldTimer)

a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services

:Reg

:Files
C:\WINDOWS\system32\WinSys.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.

[mimi]

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\WINDOWS\system32\WinSys.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Denisko a Lenka
->Temp folder emptied: 311296 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 74338339 bytes
->Flash cache emptied: 1301 bytes

User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114584 bytes
%systemroot%\System32 .tmp files removed: 2504 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 253 bytes

Total Files Cleaned = 73,00 mb


OTM by OldTimer - Version 3.1.10.0 log created on 03132010_172416

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

[jaro3]

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

vyčisti systém CCleanerem

a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš

pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG či Avast, následně T-Cleaner smaž a zapni si AVG či Avast.

Soubor je odstraněn.

Stáhni si TDSSKiller

Na svojí plochu.Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.