Prosím o preventivní kontrolu logu

[Lilly009]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:31:59, on 25.3.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI\ControlPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Program Files\MotherboardMonitor\MBM5.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\Ext2Fsd\Ext2Mgr.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Logitech\Profiler\lwemon.exe
C:\Program Files\TClock\tclock.exe
C:\Program Files\Opera9\opera.exe
C:\Documents and Settings\Klárka\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Powermarks - {6172E460-FAE3-11D2-B494-004005A47AAA} - C:\PROGRA~1\POWERM~1\iec.dll
O3 - Toolbar: Powermarks - {E166B4A2-83E7-11D3-B4FD-004005A47AAA} - C:\PROGRA~1\POWERM~1\iec.dll
O3 - Toolbar: CoolFavorites - {7F4081D7-BF8C-476b-A024-AF821D55C850} - C:\WINDOWS\coolfavorites.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI\ControlPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\MotherboardMonitor\MBM5.EXE"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Ext2 Volume Manager] "C:\Program Files\Ext2Fsd\Ext2Mgr.exe" -quiet
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\ATITrayTools\atitray.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - .DEFAULT User Startup: TClock.lnk = C:\Program Files\TClock\tclock.exe (User 'Default user')
O4 - .DEFAULT User Startup: TrayIcon Pro.lnk = C:\Program Files\TrayIconPro\tp.exe (User 'Default user')
O4 - Startup: TClock.lnk = C:\Program Files\TClock\tclock.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: GEMINI IBS 31 ZIBA Applet Security - https://www1.netbanka.cz/ZIBAIBS32/bin/ ... .3.0.1.cab
O16 - DPF: GEMINI IBS 31 ZIBA Applet Utilities - https://www1.netbanka.cz/ZIBAIBS32/bin/ ... .99.99.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2519893526
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pdhn
O17 - HKLM\Software\..\Telephony: DomainName = pdhn
O17 - HKLM\System\CCS\Services\Tcpip\..\{970ECE51-3F55-47F7-AA4D-9846F2654DCA}: Domain = pdhn
O17 - HKLM\System\CCS\Services\Tcpip\..\{970ECE51-3F55-47F7-AA4D-9846F2654DCA}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pdhn
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pdhn
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = pdhn
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 6563 bytes

[Reklama]

[jaro3]

Vítej na fóru PC-HELP!

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll


Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
C:\WINDOWS\coolfavorites.dll
Pokud už byl soubor testován-klikni na otestovat znovu.

Až skončí test všech antivirů, vlož sem pak odkaz na stránku s výsledky.

[Lilly009]

Log Malware:

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3916
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.3.2010 15:36:12
mbam-log-2010-03-26 (15-36-07).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 165833
Uplynulý čas: 5 minute(s), 45 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 7
Infikované adresáře: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind (Hijack.Find) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)


VirusTotal:

http://www.virustotal.com/cs/analisis/a ... 1269613965

[jaro3]

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.

Vypni rez. ochrany a firewall u COMODO Internet Security

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Lilly009]

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3916
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.3.2010 16:08:58
mbam-log-2010-03-26 (16-08-58).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 165756
Uplynulý čas: 4 minute(s), 17 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 7
Infikované adresáře: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind (Hijack.Find) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)


ComboFix:

ComboFix 10-03-25.09 - Klarka 26.03.2010 16:30:29.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1250.420.1033.18.1023.710 [GMT 1:00]
Spuštěný z: c:\documents and settings\Klárka\Desktop\ComboFix.exe
AV: COMODO Antivirus *On-access scanning disabled* (Updated) {043803A5-4F86-4ef7-AFC5-F6E02A79969B}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
/wow section - STAGE 10
'NIRCMD.exe' is not recognized as an internal or external command


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\PagingSYS.dll
c:\program files\Common
c:\program files\Common\VsoVprev.ax
c:\windows\direct.exe
c:\windows\glok+3ca-59fa.sys
c:\windows\glok+serv.config
c:\windows\system32\au3305adc.dll
c:\windows\system32\service.inf
c:\windows\system32\SHELLLNK.TLB

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-02-26 do 2010-03-26 )))))))))))))))))))))))))))))))
.

2010-03-26 14:26 . 2010-03-26 14:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-03 14:45 . 2010-03-03 14:45 -------- d-----w- c:\documents and settings\Jitka\Local Settings\Application Data\kompozer.net
2010-03-03 14:45 . 2010-03-03 14:45 -------- d-----w- c:\documents and settings\Jitka\Application Data\kompozer.net
2010-03-03 14:44 . 2010-03-03 14:46 -------- d-----w- c:\program files\KompoZer-0.8b1

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-26 15:35 . 2010-01-03 15:36 875409 ----a-w- c:\windows\system32\drivers\sfi.dat
2010-03-26 14:09 . 2006-03-12 21:33 -------- d-----w- c:\program files\Opera9
2010-03-24 18:31 . 2005-06-13 18:52 -------- d-----w- c:\program files\Cpu-Z
2010-03-24 14:40 . 2005-06-13 22:14 -------- d-----w- c:\program files\BandwidthMonitorPro
2010-03-20 12:49 . 2006-09-30 21:24 -------- d-----w- c:\program files\TaskbarShuffle
2010-03-08 11:32 . 2005-06-16 19:29 -------- d-----w- c:\program files\CloneDVD
2010-03-02 16:31 . 2005-06-25 13:00 -------- d-----w- c:\program files\Utils
2010-01-04 19:00 . 2005-06-16 00:00 36512 ----a-w- c:\documents and settings\Pavel\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-03 15:34 . 2010-01-03 15:34 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
2010-01-03 15:34 . 2010-01-03 15:34 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2010-01-03 15:34 . 2010-01-03 15:34 171552 ----a-w- c:\windows\system32\guard32.dll
2010-01-03 15:34 . 2010-01-03 15:34 133064 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2010-01-03 15:27 . 2010-01-03 15:27 0 ----a-w- c:\windows\nsreg.dat
2010-01-03 14:01 . 2010-01-03 14:01 99536 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-01-03 12:33 . 2005-06-10 20:44 3460 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2010-01-03 12:32 . 2005-06-10 20:44 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2005-12-23 22:38 . 2005-12-23 22:38 220 --sha-w- c:\windows\dwin.sys
2005-06-12 19:42 . 2005-06-12 19:42 56 --sh--r- c:\windows\system32\1CB8B4AC5E.sys
2006-07-06 16:53 . 2005-06-12 19:42 5904 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7F4081D7-BF8C-476b-A024-AF821D55C850}"= "c:\windows\coolfavorites.dll" [2005-07-19 200704]

[HKEY_CLASSES_ROOT\clsid\{7f4081d7-bf8c-476b-a024-af821d55c850}]
[HKEY_CLASSES_ROOT\Toolbar.NyonToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{7F4081D7-BF8C-476b-A024-AF821D55C850}]
[HKEY_CLASSES_ROOT\Toolbar.NyonToolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Start WingMan Profiler"="c:\program files\Logitech\Profiler\lwemon.exe" [2005-04-18 73728]
"AtiTrayTools"="c:\program files\ATITrayTools\atitray.exe" [2006-04-17 505344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI\ControlPanel\atiptaxx.exe" [2005-05-03 344064]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 77824]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"FinePrint Dispatcher v5"="c:\windows\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2005-05-31 483328]
"MBM 5"="c:\program files\MotherboardMonitor\MBM5.EXE" [2004-06-12 594944]
"CoolSwitch"="c:\windows\system32\taskswitch.exe" [2002-03-19 45632]
"DiskeeperSystray"="c:\program files\Diskeeper\DkIcon.exe" [2005-03-07 184408]
"Ext2 Volume Manager"="c:\program files\Ext2Fsd\Ext2Mgr.exe" [2009-07-30 1216648]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-01-03 1800464]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]

c:\documents and settings\Pavel\Start Menu\Programs\Startup\
TClock.lnk - c:\program files\TClock\tclock.exe [2001-2-23 77312]
TrayIcon Pro.lnk - c:\program files\TrayIconPro\tp.exe [2005-6-11 604160]

c:\documents and settings\Default User\Start Menu\Programs\Startup\
TClock.lnk - c:\program files\TClock\tclock.exe [2001-2-23 77312]
TrayIcon Pro.lnk - c:\program files\TrayIconPro\tp.exe [2005-6-11 604160]

c:\documents and settings\Jitka\Start Menu\Programs\Startup\
TClock.lnk - c:\program files\TClock\tclock.exe [2001-2-23 77312]
TrayIcon Pro.lnk - c:\program files\TrayIconPro\tp.exe [2005-6-11 604160]

c:\documents and settings\Julinka\Start Menu\Programs\Startup\
TClock.lnk - c:\program files\TClock\tclock.exe [2001-2-23 77312]

c:\documents and settings\Kl rka\Start Menu\Programs\Startup\
TClock.lnk - c:\program files\TClock\tclock.exe [2001-2-23 77312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWinKeys"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DiskeeperSystray"="c:\program files\Diskeeper\DkIcon.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Logitech\\HarmonyRemote\\HarmonyRemote.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Opera9\\opera.exe"=
"c:\\Program Files\\Miranda\\miranda32.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [10/15/2006 5:57 PM 158720]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [10/15/2006 5:57 PM 5248]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [8/31/2006 10:23 PM 611064]
R1 atitray;atitray;c:\program files\ATITrayTools\atitray.sys [2/28/2006 10:55 PM 12032]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [1/3/2010 4:34 PM 133064]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [1/3/2010 4:34 PM 25160]
R1 Ext2Fsd;Linux ext2 file system driver;c:\windows\system32\drivers\ext2fsd.sys [11/8/2009 3:24 PM 651264]
R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [2/1/2006 10:29 PM 33856]
R1 TSKNF601.SYS;TSKNF601.SYS;c:\windows\system32\drivers\Tsknf601.sys [6/15/2005 9:51 PM 8960]
R3 PhTVTune;TCL2002 TV Tuner;c:\windows\system32\drivers\phtvtune.sys [11/4/2004 11:45 PM 19904]
S3 cg;cg;\??\c:\program files\ClockGen\cg.sys --> c:\program files\ClockGen\cg.sys [?]
S3 FlyPCI;FlyPCI;c:\windows\system32\drivers\FlyPCI.sys [6/10/2005 11:01 PM 4134]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {970ECE51-3F55-47F7-AA4D-9846F2654DCA} = 192.168.1.1
DPF: GEMINI IBS 31 ZIBA Applet Security - hxxps://www1.netbanka.cz/ZIBAIBS32/bin/ ... .3.0.1.cab
DPF: GEMINI IBS 31 ZIBA Applet Utilities - hxxps://www1.netbanka.cz/ZIBAIBS32/bin/ ... .99.99.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Klárka\Application Data\Mozilla\Firefox\Profiles\bhlhpp3w.default\
FF - plugin: c:\program files\Opera9\program\plugins\npdrmv2.dll
FF - plugin: c:\program files\Opera9\program\plugins\npdsplay.dll
FF - plugin: c:\program files\Opera9\program\plugins\npwmsdrm.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-26 16:36
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86EEE278]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf77d2f28
\Driver\ACPI -> ACPI.sys @ 0xf761ecb8
\Driver\atapi -> 0x86eee278
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e668e
ParseProcedure -> ntoskrnl.exe @ 0x8057b6b1
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e668e
ParseProcedure -> ntoskrnl.exe @ 0x8057b6b1
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(872)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(3496)
c:\windows\system32\WININET.dll
c:\program files\ATITrayTools\raphook.dll
c:\windows\system32\ieframe.dll
c:\program files\TClock\tcdll.tclock
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Salamander\plugins\salamext.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
c:\windows\Logi_MwX.Exe
.
**************************************************************************
.
Celkový čas: 2010-03-26 16:38:43 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-03-26 15:38

Před spuštěním: 3 802 583 040 bytes free
Po spuštění: 3 924 406 272 bytes free

- - End Of File - - 4445010A009E0A6E0BBB757F8DB100F8

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
c:\windows\nsreg.dat
c:\windows\system32\1CB8B4AC5E.sys
c:\windows\system32\KGyGaAvL.sys

Registry::
[-HKEY_CLASSES_ROOT\clsid\{7f4081d7-bf8c-476b-a024-af821d55c850}]
[-HKEY_CLASSES_ROOT\Toolbar.NyonToolbar.1]
[-HKEY_CLASSES_ROOT\TypeLib\{7F4081D7-BF8C-476b-A024-AF821D55C850}]
[-HKEY_CLASSES_ROOT\Toolbar.NyonToolbar]

Driver::
cg


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT