Zdravím,
prosím o kontrolu, co to našlo za věc
Autoscan: completed 20 hours ago (events: 3, objects: 350810, time: 01:14:11)
2.9.2010 17:32:03 Task started
2.9.2010 18:37:29 Detected: SuspiciousPacker.Multi.Generic D:\PRENOS\ca_setup.exe/WISE0017.BIN/PE_Patch.Upolyx
2.9.2010 18:46:14 Task completed
díky
prosím o kontrolu logu z Kaspersky Virus Removal Tool Vyřešeno
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43292
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
Najdi a smaž:
D:\PRENOS\ca_setup.exe/WISE0017.BIN
máš jiné problémy?
D:\PRENOS\ca_setup.exe/WISE0017.BIN
máš jiné problémy?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
Nevím, jak se k souboru, který mám smazat, dostat. Ve FreeCommanderu ani v oknech ho nevidím. S příkazovým řádkem jsem ještě skoro nepracoval, ale zkusil jsem to a ve výpisu toho adresáře se mi taky neukáže. Vyhledávání ve win. taky nic..
Jinak problém - NTB je pomalej. Použil jsem CCleaner a jetě jsem zkoušel nějaké čištění (a defrag.) a celkem na mě začal počítač reagovat v reálném čase :) ale když jsem za něj teďkom zase usednul a zapnul ho po víkendu, tak než se vůbec rozhýbe po zapnutí.. no a prostě pořád pomalej.
Jinak problém - NTB je pomalej. Použil jsem CCleaner a jetě jsem zkoušel nějaké čištění (a defrag.) a celkem na mě začal počítač reagovat v reálném čase :) ale když jsem za něj teďkom zase usednul a zapnul ho po víkendu, tak než se vůbec rozhýbe po zapnutí.. no a prostě pořád pomalej.
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43292
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
Vlož log z HJT:
viewtopic.php?f=70&t=5119
+
Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.
+
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.
Pokud budou problémy , spusť v nouz. režimu.
viewtopic.php?f=70&t=5119
+
Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.
+
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.
Pokud budou problémy , spusť v nouz. režimu.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:28:13, on 6.9.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spark\Spark.exe
C:\Users\Honza\Downloads\QIP Infium PafoPack\inf.exe
C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
D:\Temp\program files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spark] C:\Program Files\Spark\Spark.exe
O4 - HKCU\..\Run: [Infium] "C:\Users\Honza\Downloads\QIP Infium PafoPack\inf.exe" /isolated
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: setup_9.0.0.722_02.09.2010_18-18.lnk = D:\Temp\program files\Virus Removal Tool\setup_9.0.0.722_02.09.2010_18-18\startup.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9D6B1FB-6B67-49DF-85E9-000EE331A353}: NameServer = 78.157.167.7,78.157.167.57
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
--
End of file - 5982 bytes
----------------------------------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Verze databáze: 4554
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
6.9.2010 16:50:35
mbam-log-2010-09-06 (16-50-35).txt
Typ skenu: Rychlý sken
Skenované objekty: 161728
Uplynulý čas: 7 minuta(y), 10 sekunda(y)
Infikované procesy v paměti: 0
Infikované moduly v paměti: 1
Infikované klíče registru: 0
Infikované hodnoty registru: 1
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 1
Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované moduly v paměti:
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)
Infikované soubory:
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
Scan saved at 16:28:13, on 6.9.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spark\Spark.exe
C:\Users\Honza\Downloads\QIP Infium PafoPack\inf.exe
C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
D:\Temp\program files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spark] C:\Program Files\Spark\Spark.exe
O4 - HKCU\..\Run: [Infium] "C:\Users\Honza\Downloads\QIP Infium PafoPack\inf.exe" /isolated
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: setup_9.0.0.722_02.09.2010_18-18.lnk = D:\Temp\program files\Virus Removal Tool\setup_9.0.0.722_02.09.2010_18-18\startup.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9D6B1FB-6B67-49DF-85E9-000EE331A353}: NameServer = 78.157.167.7,78.157.167.57
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
--
End of file - 5982 bytes
----------------------------------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Verze databáze: 4554
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
6.9.2010 16:50:35
mbam-log-2010-09-06 (16-50-35).txt
Typ skenu: Rychlý sken
Skenované objekty: 161728
Uplynulý čas: 7 minuta(y), 10 sekunda(y)
Infikované procesy v paměti: 0
Infikované moduly v paměti: 1
Infikované klíče registru: 0
Infikované hodnoty registru: 1
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 1
Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované moduly v paměti:
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)
Infikované soubory:
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43292
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod
. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujisti se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit
Můžeš sem pak vložit nový log z MbAM.
Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.
Návod
Kód: Vybrat vše
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe". Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujisti se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit
Můžeš sem pak vložit nový log z MbAM.
Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
- provedl jsem fix v HJT
- poté již MbAM nic škodlivého nenašel a tuďiž nic neopravoval
ComboFix 10-09-06.04 - Honza 07.09.2010 16:19:21.1.2 - x86
Microsoft® Windows Vista™ Business 6.0.6002.2.1250.420.1029.18.1013.345 [GMT 2:00]
Spuštěný z: c:\users\Honza\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-08-07 do 2010-09-07 )))))))))))))))))))))))))))))))
.
2010-09-07 14:30 . 2010-09-07 14:30 -------- d-----w- c:\users\Honza\AppData\Local\temp
2010-09-07 14:30 . 2010-09-07 14:30 -------- d-----w- c:\users\LogMeInRemoteUser\AppData\Local\temp
2010-09-07 12:26 . 2010-09-07 12:26 -------- d-----w- c:\users\Honza\AppData\Local\Adobe
2010-09-06 14:40 . 2010-09-06 14:40 -------- d-----w- c:\users\Honza\AppData\Roaming\Malwarebytes
2010-09-06 14:40 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-06 14:40 . 2010-09-06 14:40 -------- d-----w- c:\programdata\Malwarebytes
2010-09-06 14:40 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-06 14:17 . 2010-09-06 14:17 388096 ----a-r- c:\users\Honza\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-02 15:27 . 2010-09-03 12:46 -------- d-----w- c:\programdata\Kaspersky Lab
2010-09-02 15:26 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\47243962.sys
2010-09-02 15:26 . 2009-10-09 21:31 311312 ----a-w- c:\windows\system32\drivers\4724396.sys
2010-09-02 15:26 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\47243961.sys
2010-09-01 10:22 . 2010-09-01 10:22 -------- d-----w- c:\users\Honza\AppData\Roaming\Uniblue
2010-08-30 14:44 . 2010-08-30 15:00 -------- d-----w- c:\users\Honza\AppData\Roaming\vlc
2010-08-16 11:07 . 2010-08-18 08:31 -------- d-----w- c:\users\Honza\TEMP
2010-08-12 07:00 . 2010-05-27 20:08 81920 ----a-w- c:\windows\system32\iccvid.dll
2010-08-12 07:00 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-12 07:00 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-12 07:00 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-12 07:00 . 2010-06-18 17:31 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-08-12 07:00 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-09 09:35 . 2010-08-09 09:35 -------- d-----w- c:\program files\Common Files\Java
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 14:11 . 2010-05-10 07:24 -------- d-----w- c:\users\Honza\AppData\Roaming\FileZilla
2010-09-07 13:14 . 2010-05-10 07:24 -------- d-----w- c:\program files\FileZilla FTP Client
2010-09-07 12:48 . 2009-10-08 12:34 -------- d-----w- c:\users\Honza\AppData\Roaming\Skype
2010-09-07 12:05 . 2009-12-21 14:28 -------- d-----w- c:\program files\LogMeIn
2010-09-03 16:12 . 2009-02-24 07:31 12 ----a-w- c:\windows\bthservsdp.dat
2010-08-22 23:16 . 2010-06-07 11:44 -------- d-----w- c:\users\Honza\AppData\Roaming\dvdcss
2010-08-12 10:13 . 2009-02-24 02:38 604526 ----a-w- c:\windows\system32\perfh005.dat
2010-08-12 10:13 . 2009-02-24 02:38 117858 ----a-w- c:\windows\system32\perfc005.dat
2010-08-12 10:03 . 2009-03-01 17:03 -------- d-----w- c:\program files\7-Zip
2010-08-12 07:08 . 2009-02-24 08:24 -------- d-----w- c:\programdata\Microsoft Help
2010-08-12 07:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-10 12:09 . 2010-01-06 16:35 1 ----a-w- c:\users\Honza\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-09 09:33 . 2009-03-02 15:05 -------- d-----w- c:\program files\Java
2010-08-06 09:45 . 2010-08-06 09:45 -------- d-----w- c:\program files\FreeCommander
2010-08-06 09:45 . 2010-08-06 09:45 -------- d-----w- c:\users\Honza\AppData\Roaming\FreeCommander
2010-08-06 09:31 . 2009-11-04 16:37 -------- d-----w- c:\users\Honza\AppData\Roaming\GHISLER
2010-08-05 15:21 . 2010-08-05 15:18 -------- d-----w- c:\program files\Google
2010-07-23 15:22 . 2010-08-08 08:18 1496064 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-07-23 15:22 . 2010-08-08 08:18 43008 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-07-23 15:22 . 2010-08-08 08:18 338944 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-07-23 15:22 . 2010-08-08 08:18 346112 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-07-17 03:00 . 2010-05-20 07:19 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-26 06:05 . 2010-08-12 07:01 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-12 07:01 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 06:02 . 2010-08-12 07:01 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 04:25 . 2010-08-12 07:01 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-21 13:37 . 2010-08-12 07:01 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-06-18 15:04 . 2010-08-12 07:01 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 15:04 . 2010-08-12 07:01 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-11 16:16 . 2010-08-12 07:01 274944 ----a-w- c:\windows\system32\schannel.dll
2010-06-10 06:48 . 2009-12-21 14:29 83360 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2010-06-10 06:48 . 2009-12-21 14:29 29568 ----a-w- c:\windows\system32\LMIport.dll
2010-06-10 06:48 . 2009-12-21 14:29 87424 ----a-w- c:\windows\system32\LMIinit.dll
2009-05-19 10:29 . 2009-05-19 10:29 3411 ----a-w- c:\program files\Common Files\cfgbak.tgb
2007-08-22 13:50 . 2007-08-22 13:45 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
"Spark"="c:\program files\Spark\Spark.exe" [2007-11-14 434176]
"Infium"="c:\users\Honza\Downloads\QIP Infium PafoPack\inf.exe" [2009-03-22 5248512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 4489216]
"Skytel"="Skytel.exe" [2007-05-28 1826816]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 869936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-06-12 174872]
"TouchPadHotKey"="c:\program files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe" [2007-06-26 360448]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-02-06 2021400]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-08-11 63048]
c:\users\Honza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
setup_9.0.0.722_02.09.2010_18-18.lnk - d:\temp\program files\Virus Removal Tool\setup_9.0.0.722_02.09.2010_18-18\startup.exe [2010-9-2 72208]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WirelessSelector.lnk - c:\program files\FSC\Wireless Utility\WirelessSelector.exe [2009-2-24 651776]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):b5,a6,9c,07,a9,62,ca,01
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 136176]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\RaInfo.sys [2008-08-11 12856]
R3 adusbser;AnyDATA USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\adusbser.sys [2007-11-14 100992]
S0 47243962;47243962 Boot Guard Driver;c:\windows\system32\DRIVERS\47243962.sys [2009-10-22 37392]
S1 47243961;47243961;c:\windows\system32\DRIVERS\47243961.sys [2009-09-25 128016]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]
S1 ElRawDisk;ElRawDisk;c:\windows\system32\drivers\dddsk.sys [2009-02-12 22312]
S1 setup_9.0.0.722_02.09.2010_18-18drv;setup_9.0.0.722_02.09.2010_18-18drv;c:\windows\system32\DRIVERS\4724396.sys [2009-10-09 311312]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
S2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2009-02-06 727720]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [2009-02-06 38240]
S3 acpi_contactor;acpi_contactor Driver;c:\windows\system32\DRIVERS\acpi_contactor_vista.sys [2007-04-13 7680]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Obsah adresáře 'Naplánované úlohy'
2010-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 15:18]
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 15:18]
2010-09-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3865133748-4181632270-301148789-1003Core.job
- c:\users\Honza\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-29 17:08]
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3865133748-4181632270-301148789-1003UA.job
- c:\users\Honza\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-29 17:08]
2010-08-22 c:\windows\Tasks\SmartDefrag.job
- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2010-04-03 14:48]
2010-09-07 c:\windows\Tasks\User_Feed_Synchronization-{10DA35FA-5236-4514-9382-80BA9CF6383E}.job
- c:\windows\system32\msfeedssync.exe [2010-08-12 04:24]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: {C9D6B1FB-6B67-49DF-85E9-000EE331A353} = 78.157.167.7,78.157.167.57
FF - ProfilePath - c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.dakinigompa.cz/?id=contact
FF - component: c:\program files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
FF - component: c:\program files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
FF - component: c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\users\Honza\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
AddRemove-Convert PDF To Image_is1 - c:\program files\Softinterface
AddRemove-FileZilla Client - c:\program files\FileZilla FTP Client\uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 16:30
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Celkový čas: 2010-09-07 16:34:32
ComboFix-quarantined-files.txt 2010-09-07 14:34
Před spuštěním: 5 724 598 272
Po spuštění: 8 299 114 496
- - End Of File - - 096CA177CAA7726F2997F4A16B3508A5
- poté již MbAM nic škodlivého nenašel a tuďiž nic neopravoval
ComboFix 10-09-06.04 - Honza 07.09.2010 16:19:21.1.2 - x86
Microsoft® Windows Vista™ Business 6.0.6002.2.1250.420.1029.18.1013.345 [GMT 2:00]
Spuštěný z: c:\users\Honza\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-08-07 do 2010-09-07 )))))))))))))))))))))))))))))))
.
2010-09-07 14:30 . 2010-09-07 14:30 -------- d-----w- c:\users\Honza\AppData\Local\temp
2010-09-07 14:30 . 2010-09-07 14:30 -------- d-----w- c:\users\LogMeInRemoteUser\AppData\Local\temp
2010-09-07 12:26 . 2010-09-07 12:26 -------- d-----w- c:\users\Honza\AppData\Local\Adobe
2010-09-06 14:40 . 2010-09-06 14:40 -------- d-----w- c:\users\Honza\AppData\Roaming\Malwarebytes
2010-09-06 14:40 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-06 14:40 . 2010-09-06 14:40 -------- d-----w- c:\programdata\Malwarebytes
2010-09-06 14:40 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-06 14:17 . 2010-09-06 14:17 388096 ----a-r- c:\users\Honza\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-02 15:27 . 2010-09-03 12:46 -------- d-----w- c:\programdata\Kaspersky Lab
2010-09-02 15:26 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\47243962.sys
2010-09-02 15:26 . 2009-10-09 21:31 311312 ----a-w- c:\windows\system32\drivers\4724396.sys
2010-09-02 15:26 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\47243961.sys
2010-09-01 10:22 . 2010-09-01 10:22 -------- d-----w- c:\users\Honza\AppData\Roaming\Uniblue
2010-08-30 14:44 . 2010-08-30 15:00 -------- d-----w- c:\users\Honza\AppData\Roaming\vlc
2010-08-16 11:07 . 2010-08-18 08:31 -------- d-----w- c:\users\Honza\TEMP
2010-08-12 07:00 . 2010-05-27 20:08 81920 ----a-w- c:\windows\system32\iccvid.dll
2010-08-12 07:00 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-12 07:00 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-12 07:00 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-12 07:00 . 2010-06-18 17:31 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-08-12 07:00 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-09 09:35 . 2010-08-09 09:35 -------- d-----w- c:\program files\Common Files\Java
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 14:11 . 2010-05-10 07:24 -------- d-----w- c:\users\Honza\AppData\Roaming\FileZilla
2010-09-07 13:14 . 2010-05-10 07:24 -------- d-----w- c:\program files\FileZilla FTP Client
2010-09-07 12:48 . 2009-10-08 12:34 -------- d-----w- c:\users\Honza\AppData\Roaming\Skype
2010-09-07 12:05 . 2009-12-21 14:28 -------- d-----w- c:\program files\LogMeIn
2010-09-03 16:12 . 2009-02-24 07:31 12 ----a-w- c:\windows\bthservsdp.dat
2010-08-22 23:16 . 2010-06-07 11:44 -------- d-----w- c:\users\Honza\AppData\Roaming\dvdcss
2010-08-12 10:13 . 2009-02-24 02:38 604526 ----a-w- c:\windows\system32\perfh005.dat
2010-08-12 10:13 . 2009-02-24 02:38 117858 ----a-w- c:\windows\system32\perfc005.dat
2010-08-12 10:03 . 2009-03-01 17:03 -------- d-----w- c:\program files\7-Zip
2010-08-12 07:08 . 2009-02-24 08:24 -------- d-----w- c:\programdata\Microsoft Help
2010-08-12 07:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-10 12:09 . 2010-01-06 16:35 1 ----a-w- c:\users\Honza\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-09 09:33 . 2009-03-02 15:05 -------- d-----w- c:\program files\Java
2010-08-06 09:45 . 2010-08-06 09:45 -------- d-----w- c:\program files\FreeCommander
2010-08-06 09:45 . 2010-08-06 09:45 -------- d-----w- c:\users\Honza\AppData\Roaming\FreeCommander
2010-08-06 09:31 . 2009-11-04 16:37 -------- d-----w- c:\users\Honza\AppData\Roaming\GHISLER
2010-08-05 15:21 . 2010-08-05 15:18 -------- d-----w- c:\program files\Google
2010-07-23 15:22 . 2010-08-08 08:18 1496064 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-07-23 15:22 . 2010-08-08 08:18 43008 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-07-23 15:22 . 2010-08-08 08:18 338944 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-07-23 15:22 . 2010-08-08 08:18 346112 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-07-17 03:00 . 2010-05-20 07:19 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-26 06:05 . 2010-08-12 07:01 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-12 07:01 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 06:02 . 2010-08-12 07:01 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 04:25 . 2010-08-12 07:01 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-21 13:37 . 2010-08-12 07:01 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-06-18 15:04 . 2010-08-12 07:01 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 15:04 . 2010-08-12 07:01 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-11 16:16 . 2010-08-12 07:01 274944 ----a-w- c:\windows\system32\schannel.dll
2010-06-10 06:48 . 2009-12-21 14:29 83360 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2010-06-10 06:48 . 2009-12-21 14:29 29568 ----a-w- c:\windows\system32\LMIport.dll
2010-06-10 06:48 . 2009-12-21 14:29 87424 ----a-w- c:\windows\system32\LMIinit.dll
2009-05-19 10:29 . 2009-05-19 10:29 3411 ----a-w- c:\program files\Common Files\cfgbak.tgb
2007-08-22 13:50 . 2007-08-22 13:45 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
"Spark"="c:\program files\Spark\Spark.exe" [2007-11-14 434176]
"Infium"="c:\users\Honza\Downloads\QIP Infium PafoPack\inf.exe" [2009-03-22 5248512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 4489216]
"Skytel"="Skytel.exe" [2007-05-28 1826816]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 869936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-06-12 174872]
"TouchPadHotKey"="c:\program files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe" [2007-06-26 360448]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-02-06 2021400]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-08-11 63048]
c:\users\Honza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
setup_9.0.0.722_02.09.2010_18-18.lnk - d:\temp\program files\Virus Removal Tool\setup_9.0.0.722_02.09.2010_18-18\startup.exe [2010-9-2 72208]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WirelessSelector.lnk - c:\program files\FSC\Wireless Utility\WirelessSelector.exe [2009-2-24 651776]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):b5,a6,9c,07,a9,62,ca,01
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 136176]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\RaInfo.sys [2008-08-11 12856]
R3 adusbser;AnyDATA USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\adusbser.sys [2007-11-14 100992]
S0 47243962;47243962 Boot Guard Driver;c:\windows\system32\DRIVERS\47243962.sys [2009-10-22 37392]
S1 47243961;47243961;c:\windows\system32\DRIVERS\47243961.sys [2009-09-25 128016]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]
S1 ElRawDisk;ElRawDisk;c:\windows\system32\drivers\dddsk.sys [2009-02-12 22312]
S1 setup_9.0.0.722_02.09.2010_18-18drv;setup_9.0.0.722_02.09.2010_18-18drv;c:\windows\system32\DRIVERS\4724396.sys [2009-10-09 311312]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
S2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2009-02-06 727720]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [2009-02-06 38240]
S3 acpi_contactor;acpi_contactor Driver;c:\windows\system32\DRIVERS\acpi_contactor_vista.sys [2007-04-13 7680]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Obsah adresáře 'Naplánované úlohy'
2010-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 15:18]
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 15:18]
2010-09-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3865133748-4181632270-301148789-1003Core.job
- c:\users\Honza\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-29 17:08]
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3865133748-4181632270-301148789-1003UA.job
- c:\users\Honza\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-29 17:08]
2010-08-22 c:\windows\Tasks\SmartDefrag.job
- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2010-04-03 14:48]
2010-09-07 c:\windows\Tasks\User_Feed_Synchronization-{10DA35FA-5236-4514-9382-80BA9CF6383E}.job
- c:\windows\system32\msfeedssync.exe [2010-08-12 04:24]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: {C9D6B1FB-6B67-49DF-85E9-000EE331A353} = 78.157.167.7,78.157.167.57
FF - ProfilePath - c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.dakinigompa.cz/?id=contact
FF - component: c:\program files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
FF - component: c:\program files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
FF - component: c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\users\Honza\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
AddRemove-Convert PDF To Image_is1 - c:\program files\Softinterface
AddRemove-FileZilla Client - c:\program files\FileZilla FTP Client\uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 16:30
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Celkový čas: 2010-09-07 16:34:32
ComboFix-quarantined-files.txt 2010-09-07 14:34
Před spuštěním: 5 724 598 272
Po spuštění: 8 299 114 496
- - End Of File - - 096CA177CAA7726F2997F4A16B3508A5
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43292
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE
Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE
Kód: Vybrat vše
KillAll::
File::
c:\windows\system32\drivers\47243962.sys
c:\windows\system32\drivers\4724396.sys
c:\windows\system32\drivers\47243961.sys
c:\windows\bthservsdp.dat
c:\windows\system32\perfh005.dat
c:\windows\system32\perfc005.dat
DirLook::
c:\users\Honza\TEMP
Driver::
47243962
4724396
47243961
setup_9.0.0.722_02.09.2010_18-18drv
Firefox::
FF - ProfilePath - c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.dakinigompa.cz/?id=contact
FF - component: c:\program files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
FF - component: c:\program files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
RegNull::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
- ComboFix těsně před koncem (hlásil, že už vytváří log, že by to mělo trvat jen několik sekund) chtěl najednou zkontrolovat nějaký tuším Malware v databázi na serveru, tak mě vyzval, ať se ujistím, že je počítač připojen k internetu (byl). Potvrdil jsem to, doběhl pak do konce a vytvořil log.
- Když jsem chtěl otevřít firefox pro vystavení logu do fora, firefox nešel spustit. Ani Google Chrome, ani malování, ani IrfanWiew...
hláška:
"Pokus použít neplatnou operaci na klíč k registru, který je označen pro odstranění" (snad dobře opsáno)
nad textem v uvozovkách byla vždy cesta, podle toho, který program jsem chtěl otevřít:
např: C:\Windows\System32\mspaint.exe
C:\Program Files\Mozilla Firefox\firefox.exe
- Logy z ComoFixu a HJT (ten spustit šel) jsem si odnesl na sticku a počítač jsem nevypínal ani neresetoval. píšu odjinud
ComboFix 10-09-06.04 - Honza 07.09.2010 17:19:36.2.2 - x86
Microsoft® Windows Vista™ Business 6.0.6002.2.1250.420.1029.18.1013.373 [GMT 2:00]
Spuštěný z: c:\users\Honza\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Honza\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Rezidentní štít AV je zapnutý
FILE ::
"c:\windows\bthservsdp.dat"
"c:\windows\system32\drivers\4724396.sys"
"c:\windows\system32\drivers\47243961.sys"
"c:\windows\system32\drivers\47243962.sys"
"c:\windows\system32\perfc005.dat"
"c:\windows\system32\perfh005.dat"
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
c:\program files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
c:\windows\bthservsdp.dat
c:\windows\system32\drivers\4724396.sys
c:\windows\system32\drivers\47243961.sys
c:\windows\system32\drivers\47243962.sys
c:\windows\system32\perfc005.dat
c:\windows\system32\perfh005.dat
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_47243961
-------\Legacy_47243962
-------\Legacy_SETUP_9.0.0.722_02.09.2010_18-18DRV
-------\Service_47243961
-------\Service_47243962
-------\Service_setup_9.0.0.722_02.09.2010_18-18drv
((((((((((((((((((((((((( Soubory vytvořené od 2010-08-07 do 2010-09-07 )))))))))))))))))))))))))))))))
.
2010-09-07 15:32 . 2010-09-07 15:35 -------- d-----w- c:\users\Honza\AppData\Local\temp
2010-09-07 15:32 . 2010-09-07 15:32 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-09-07 15:32 . 2010-09-07 15:32 -------- d-----w- c:\users\LogMeInRemoteUser\AppData\Local\temp
2010-09-07 15:32 . 2010-09-07 15:32 -------- d-----w- c:\users\ITSprava\AppData\Local\temp
2010-09-07 15:32 . 2010-09-07 15:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-07 12:26 . 2010-09-07 12:26 -------- d-----w- c:\users\Honza\AppData\Local\Adobe
2010-09-06 14:40 . 2010-09-06 14:40 -------- d-----w- c:\users\Honza\AppData\Roaming\Malwarebytes
2010-09-06 14:40 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-06 14:40 . 2010-09-06 14:40 -------- d-----w- c:\programdata\Malwarebytes
2010-09-06 14:40 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-02 15:27 . 2010-09-03 12:46 -------- d-----w- c:\programdata\Kaspersky Lab
2010-09-01 10:22 . 2010-09-01 10:22 -------- d-----w- c:\users\Honza\AppData\Roaming\Uniblue
2010-08-30 14:44 . 2010-08-30 15:00 -------- d-----w- c:\users\Honza\AppData\Roaming\vlc
2010-08-16 11:07 . 2010-08-18 08:31 -------- d-----w- c:\users\Honza\TEMP
2010-08-12 07:00 . 2010-05-27 20:08 81920 ----a-w- c:\windows\system32\iccvid.dll
2010-08-12 07:00 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-12 07:00 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-12 07:00 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-12 07:00 . 2010-06-18 17:31 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-08-12 07:00 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-09 09:35 . 2010-08-09 09:35 -------- d-----w- c:\program files\Common Files\Java
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 15:38 . 2009-10-08 12:34 -------- d-----w- c:\users\Honza\AppData\Roaming\Skype
2010-09-07 14:11 . 2010-05-10 07:24 -------- d-----w- c:\users\Honza\AppData\Roaming\FileZilla
2010-09-07 13:14 . 2010-05-10 07:24 -------- d-----w- c:\program files\FileZilla FTP Client
2010-09-07 12:05 . 2009-12-21 14:28 -------- d-----w- c:\program files\LogMeIn
2010-09-06 14:17 . 2010-09-06 14:17 388096 ----a-r- c:\users\Honza\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-08-22 23:16 . 2010-06-07 11:44 -------- d-----w- c:\users\Honza\AppData\Roaming\dvdcss
2010-08-12 10:03 . 2009-03-01 17:03 -------- d-----w- c:\program files\7-Zip
2010-08-12 07:08 . 2009-02-24 08:24 -------- d-----w- c:\programdata\Microsoft Help
2010-08-12 07:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-10 12:09 . 2010-01-06 16:35 1 ----a-w- c:\users\Honza\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-09 09:33 . 2009-03-02 15:05 -------- d-----w- c:\program files\Java
2010-08-06 09:45 . 2010-08-06 09:45 -------- d-----w- c:\program files\FreeCommander
2010-08-06 09:45 . 2010-08-06 09:45 -------- d-----w- c:\users\Honza\AppData\Roaming\FreeCommander
2010-08-06 09:31 . 2009-11-04 16:37 -------- d-----w- c:\users\Honza\AppData\Roaming\GHISLER
2010-08-05 15:21 . 2010-08-05 15:18 -------- d-----w- c:\program files\Google
2010-07-23 15:22 . 2010-08-08 08:18 1496064 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-07-23 15:22 . 2010-08-08 08:18 43008 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-07-23 15:22 . 2010-08-08 08:18 338944 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-07-23 15:22 . 2010-08-08 08:18 346112 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-07-17 03:00 . 2010-05-20 07:19 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-26 06:05 . 2010-08-12 07:01 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-12 07:01 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 06:02 . 2010-08-12 07:01 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 04:25 . 2010-08-12 07:01 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-21 13:37 . 2010-08-12 07:01 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-06-18 15:04 . 2010-08-12 07:01 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 15:04 . 2010-08-12 07:01 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-11 16:16 . 2010-08-12 07:01 274944 ----a-w- c:\windows\system32\schannel.dll
2010-06-10 06:48 . 2009-12-21 14:29 83360 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2010-06-10 06:48 . 2009-12-21 14:29 29568 ----a-w- c:\windows\system32\LMIport.dll
2010-06-10 06:48 . 2009-12-21 14:29 87424 ----a-w- c:\windows\system32\LMIinit.dll
2009-05-19 10:29 . 2009-05-19 10:29 3411 ----a-w- c:\program files\Common Files\cfgbak.tgb
2007-08-22 13:50 . 2007-08-22 13:45 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\users\Honza\TEMP ----
2010-08-18 08:31 . 2010-08-18 08:31 323510 ----a-w- c:\users\Honza\TEMP\Akcni_plan_2008.pdf
2010-08-16 14:36 . 2010-08-16 14:37 10225308 ----a-w- c:\users\Honza\TEMP\165-10.pdf
2010-08-16 12:09 . 2010-08-16 12:10 5675593 ----a-w- c:\users\Honza\TEMP\RSD2009cz.pdf
2010-08-16 11:36 . 2010-08-16 11:36 348912 ----a-w- c:\users\Honza\TEMP\s11-nebory-oldrich.pdf
2010-08-16 11:30 . 2010-08-16 11:30 320717 ----a-w- c:\users\Honza\TEMP\s68-tranovice-nebory.pdf
2010-08-16 11:15 . 2010-08-16 11:15 1263165 ----a-w- c:\users\Honza\TEMP\viaLyzbice.pdf
2010-08-16 11:07 . 2010-08-16 11:07 539579 ----a-w- c:\users\Honza\TEMP\s11-ceskytesin-obchvat.pdf
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
"Spark"="c:\program files\Spark\Spark.exe" [2007-11-14 434176]
"Infium"="c:\users\Honza\Downloads\QIP Infium PafoPack\inf.exe" [2009-03-22 5248512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 4489216]
"Skytel"="Skytel.exe" [2007-05-28 1826816]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 869936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-06-12 174872]
"TouchPadHotKey"="c:\program files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe" [2007-06-26 360448]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-02-06 2021400]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-08-11 63048]
c:\users\Honza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
setup_9.0.0.722_02.09.2010_18-18.lnk - d:\temp\program files\Virus Removal Tool\setup_9.0.0.722_02.09.2010_18-18\startup.exe [2010-9-2 72208]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WirelessSelector.lnk - c:\program files\FSC\Wireless Utility\WirelessSelector.exe [2009-2-24 651776]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):b5,a6,9c,07,a9,62,ca,01
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 136176]
R3 adusbser;AnyDATA USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\adusbser.sys [2007-11-14 100992]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]
S1 ElRawDisk;ElRawDisk;c:\windows\system32\drivers\dddsk.sys [2009-02-12 22312]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
S2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2009-02-06 727720]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [2009-02-06 38240]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\RaInfo.sys [2008-08-11 12856]
S3 acpi_contactor;acpi_contactor Driver;c:\windows\system32\DRIVERS\acpi_contactor_vista.sys [2007-04-13 7680]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Obsah adresáře 'Naplánované úlohy'
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 15:18]
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 15:18]
2010-09-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3865133748-4181632270-301148789-1003Core.job
- c:\users\Honza\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-29 17:08]
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3865133748-4181632270-301148789-1003UA.job
- c:\users\Honza\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-29 17:08]
2010-09-07 c:\windows\Tasks\User_Feed_Synchronization-{10DA35FA-5236-4514-9382-80BA9CF6383E}.job
- c:\windows\system32\msfeedssync.exe [2010-08-12 04:24]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: {C9D6B1FB-6B67-49DF-85E9-000EE331A353} = 78.157.167.7,78.157.167.57
FF - ProfilePath - c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\
FF - component: c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\users\Honza\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 17:38
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\LogMeIn\x86\RaMaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\WUDFHost.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
.
**************************************************************************
.
Celkový čas: 2010-09-07 17:43:43 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-09-07 15:43
ComboFix2.txt 2010-09-07 14:34
Před spuštěním: 8 316 837 888
Po spuštění: 7 994 830 848
- - End Of File - - 714A43A1DA8DD2583F3CE778C83169C3
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:53:21, on 7.9.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Users\Honza\Downloads\QIP Infium PafoPack\inf.exe
C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Windows\Explorer.exe
D:\Temp\program files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spark] C:\Program Files\Spark\Spark.exe
O4 - HKCU\..\Run: [Infium] "C:\Users\Honza\Downloads\QIP Infium PafoPack\inf.exe" /isolated
O4 - Startup: setup_9.0.0.722_02.09.2010_18-18.lnk = D:\Temp\program files\Virus Removal Tool\setup_9.0.0.722_02.09.2010_18-18\startup.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9D6B1FB-6B67-49DF-85E9-000EE331A353}: NameServer = 78.157.167.7,78.157.167.57
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
--
End of file - 4441 bytes
- Když jsem chtěl otevřít firefox pro vystavení logu do fora, firefox nešel spustit. Ani Google Chrome, ani malování, ani IrfanWiew...
hláška:
"Pokus použít neplatnou operaci na klíč k registru, který je označen pro odstranění" (snad dobře opsáno)
nad textem v uvozovkách byla vždy cesta, podle toho, který program jsem chtěl otevřít:
např: C:\Windows\System32\mspaint.exe
C:\Program Files\Mozilla Firefox\firefox.exe
- Logy z ComoFixu a HJT (ten spustit šel) jsem si odnesl na sticku a počítač jsem nevypínal ani neresetoval. píšu odjinud
ComboFix 10-09-06.04 - Honza 07.09.2010 17:19:36.2.2 - x86
Microsoft® Windows Vista™ Business 6.0.6002.2.1250.420.1029.18.1013.373 [GMT 2:00]
Spuštěný z: c:\users\Honza\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Honza\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Rezidentní štít AV je zapnutý
FILE ::
"c:\windows\bthservsdp.dat"
"c:\windows\system32\drivers\4724396.sys"
"c:\windows\system32\drivers\47243961.sys"
"c:\windows\system32\drivers\47243962.sys"
"c:\windows\system32\perfc005.dat"
"c:\windows\system32\perfh005.dat"
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
c:\program files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
c:\windows\bthservsdp.dat
c:\windows\system32\drivers\4724396.sys
c:\windows\system32\drivers\47243961.sys
c:\windows\system32\drivers\47243962.sys
c:\windows\system32\perfc005.dat
c:\windows\system32\perfh005.dat
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_47243961
-------\Legacy_47243962
-------\Legacy_SETUP_9.0.0.722_02.09.2010_18-18DRV
-------\Service_47243961
-------\Service_47243962
-------\Service_setup_9.0.0.722_02.09.2010_18-18drv
((((((((((((((((((((((((( Soubory vytvořené od 2010-08-07 do 2010-09-07 )))))))))))))))))))))))))))))))
.
2010-09-07 15:32 . 2010-09-07 15:35 -------- d-----w- c:\users\Honza\AppData\Local\temp
2010-09-07 15:32 . 2010-09-07 15:32 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-09-07 15:32 . 2010-09-07 15:32 -------- d-----w- c:\users\LogMeInRemoteUser\AppData\Local\temp
2010-09-07 15:32 . 2010-09-07 15:32 -------- d-----w- c:\users\ITSprava\AppData\Local\temp
2010-09-07 15:32 . 2010-09-07 15:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-07 12:26 . 2010-09-07 12:26 -------- d-----w- c:\users\Honza\AppData\Local\Adobe
2010-09-06 14:40 . 2010-09-06 14:40 -------- d-----w- c:\users\Honza\AppData\Roaming\Malwarebytes
2010-09-06 14:40 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-06 14:40 . 2010-09-06 14:40 -------- d-----w- c:\programdata\Malwarebytes
2010-09-06 14:40 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-02 15:27 . 2010-09-03 12:46 -------- d-----w- c:\programdata\Kaspersky Lab
2010-09-01 10:22 . 2010-09-01 10:22 -------- d-----w- c:\users\Honza\AppData\Roaming\Uniblue
2010-08-30 14:44 . 2010-08-30 15:00 -------- d-----w- c:\users\Honza\AppData\Roaming\vlc
2010-08-16 11:07 . 2010-08-18 08:31 -------- d-----w- c:\users\Honza\TEMP
2010-08-12 07:00 . 2010-05-27 20:08 81920 ----a-w- c:\windows\system32\iccvid.dll
2010-08-12 07:00 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-12 07:00 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-12 07:00 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-12 07:00 . 2010-06-18 17:31 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-08-12 07:00 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-09 09:35 . 2010-08-09 09:35 -------- d-----w- c:\program files\Common Files\Java
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 15:38 . 2009-10-08 12:34 -------- d-----w- c:\users\Honza\AppData\Roaming\Skype
2010-09-07 14:11 . 2010-05-10 07:24 -------- d-----w- c:\users\Honza\AppData\Roaming\FileZilla
2010-09-07 13:14 . 2010-05-10 07:24 -------- d-----w- c:\program files\FileZilla FTP Client
2010-09-07 12:05 . 2009-12-21 14:28 -------- d-----w- c:\program files\LogMeIn
2010-09-06 14:17 . 2010-09-06 14:17 388096 ----a-r- c:\users\Honza\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-08-22 23:16 . 2010-06-07 11:44 -------- d-----w- c:\users\Honza\AppData\Roaming\dvdcss
2010-08-12 10:03 . 2009-03-01 17:03 -------- d-----w- c:\program files\7-Zip
2010-08-12 07:08 . 2009-02-24 08:24 -------- d-----w- c:\programdata\Microsoft Help
2010-08-12 07:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-10 12:09 . 2010-01-06 16:35 1 ----a-w- c:\users\Honza\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-09 09:33 . 2009-03-02 15:05 -------- d-----w- c:\program files\Java
2010-08-06 09:45 . 2010-08-06 09:45 -------- d-----w- c:\program files\FreeCommander
2010-08-06 09:45 . 2010-08-06 09:45 -------- d-----w- c:\users\Honza\AppData\Roaming\FreeCommander
2010-08-06 09:31 . 2009-11-04 16:37 -------- d-----w- c:\users\Honza\AppData\Roaming\GHISLER
2010-08-05 15:21 . 2010-08-05 15:18 -------- d-----w- c:\program files\Google
2010-07-23 15:22 . 2010-08-08 08:18 1496064 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-07-23 15:22 . 2010-08-08 08:18 43008 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-07-23 15:22 . 2010-08-08 08:18 338944 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-07-23 15:22 . 2010-08-08 08:18 346112 ----a-w- c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-07-17 03:00 . 2010-05-20 07:19 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-26 06:05 . 2010-08-12 07:01 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-12 07:01 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 06:02 . 2010-08-12 07:01 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 04:25 . 2010-08-12 07:01 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-21 13:37 . 2010-08-12 07:01 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-06-18 15:04 . 2010-08-12 07:01 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 15:04 . 2010-08-12 07:01 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-11 16:16 . 2010-08-12 07:01 274944 ----a-w- c:\windows\system32\schannel.dll
2010-06-10 06:48 . 2009-12-21 14:29 83360 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2010-06-10 06:48 . 2009-12-21 14:29 29568 ----a-w- c:\windows\system32\LMIport.dll
2010-06-10 06:48 . 2009-12-21 14:29 87424 ----a-w- c:\windows\system32\LMIinit.dll
2009-05-19 10:29 . 2009-05-19 10:29 3411 ----a-w- c:\program files\Common Files\cfgbak.tgb
2007-08-22 13:50 . 2007-08-22 13:45 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\users\Honza\TEMP ----
2010-08-18 08:31 . 2010-08-18 08:31 323510 ----a-w- c:\users\Honza\TEMP\Akcni_plan_2008.pdf
2010-08-16 14:36 . 2010-08-16 14:37 10225308 ----a-w- c:\users\Honza\TEMP\165-10.pdf
2010-08-16 12:09 . 2010-08-16 12:10 5675593 ----a-w- c:\users\Honza\TEMP\RSD2009cz.pdf
2010-08-16 11:36 . 2010-08-16 11:36 348912 ----a-w- c:\users\Honza\TEMP\s11-nebory-oldrich.pdf
2010-08-16 11:30 . 2010-08-16 11:30 320717 ----a-w- c:\users\Honza\TEMP\s68-tranovice-nebory.pdf
2010-08-16 11:15 . 2010-08-16 11:15 1263165 ----a-w- c:\users\Honza\TEMP\viaLyzbice.pdf
2010-08-16 11:07 . 2010-08-16 11:07 539579 ----a-w- c:\users\Honza\TEMP\s11-ceskytesin-obchvat.pdf
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
"Spark"="c:\program files\Spark\Spark.exe" [2007-11-14 434176]
"Infium"="c:\users\Honza\Downloads\QIP Infium PafoPack\inf.exe" [2009-03-22 5248512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 4489216]
"Skytel"="Skytel.exe" [2007-05-28 1826816]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 869936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-06-12 174872]
"TouchPadHotKey"="c:\program files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe" [2007-06-26 360448]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-02-06 2021400]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-08-11 63048]
c:\users\Honza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
setup_9.0.0.722_02.09.2010_18-18.lnk - d:\temp\program files\Virus Removal Tool\setup_9.0.0.722_02.09.2010_18-18\startup.exe [2010-9-2 72208]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WirelessSelector.lnk - c:\program files\FSC\Wireless Utility\WirelessSelector.exe [2009-2-24 651776]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):b5,a6,9c,07,a9,62,ca,01
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 136176]
R3 adusbser;AnyDATA USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\adusbser.sys [2007-11-14 100992]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]
S1 ElRawDisk;ElRawDisk;c:\windows\system32\drivers\dddsk.sys [2009-02-12 22312]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
S2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2009-02-06 727720]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [2009-02-06 38240]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\RaInfo.sys [2008-08-11 12856]
S3 acpi_contactor;acpi_contactor Driver;c:\windows\system32\DRIVERS\acpi_contactor_vista.sys [2007-04-13 7680]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Obsah adresáře 'Naplánované úlohy'
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 15:18]
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-05 15:18]
2010-09-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3865133748-4181632270-301148789-1003Core.job
- c:\users\Honza\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-29 17:08]
2010-09-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3865133748-4181632270-301148789-1003UA.job
- c:\users\Honza\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-29 17:08]
2010-09-07 c:\windows\Tasks\User_Feed_Synchronization-{10DA35FA-5236-4514-9382-80BA9CF6383E}.job
- c:\windows\system32\msfeedssync.exe [2010-08-12 04:24]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: {C9D6B1FB-6B67-49DF-85E9-000EE331A353} = 78.157.167.7,78.157.167.57
FF - ProfilePath - c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\
FF - component: c:\users\Honza\AppData\Roaming\Mozilla\Firefox\Profiles\ej87dflf.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\users\Honza\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 17:38
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\LogMeIn\x86\RaMaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\WUDFHost.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
.
**************************************************************************
.
Celkový čas: 2010-09-07 17:43:43 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-09-07 15:43
ComboFix2.txt 2010-09-07 14:34
Před spuštěním: 8 316 837 888
Po spuštění: 7 994 830 848
- - End Of File - - 714A43A1DA8DD2583F3CE778C83169C3
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:53:21, on 7.9.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Users\Honza\Downloads\QIP Infium PafoPack\inf.exe
C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Windows\Explorer.exe
D:\Temp\program files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spark] C:\Program Files\Spark\Spark.exe
O4 - HKCU\..\Run: [Infium] "C:\Users\Honza\Downloads\QIP Infium PafoPack\inf.exe" /isolated
O4 - Startup: setup_9.0.0.722_02.09.2010_18-18.lnk = D:\Temp\program files\Virus Removal Tool\setup_9.0.0.722_02.09.2010_18-18\startup.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9D6B1FB-6B67-49DF-85E9-000EE331A353}: NameServer = 78.157.167.7,78.157.167.57
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
--
End of file - 4441 bytes
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43292
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall
vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš
Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.
Start-Spustit a zadej ComboFix /Uninstall
vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš
Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
Vypadá to celkem dobře. Jen trochu kroutím hlavou nad jednou věcí - i když prakticky nic nedělám, ale mám spuštěné progrymy: Skype, Spark, QiP a Outlook, tak mám využití fyzické paměti kolem 80%. CPU lítá jenom tak mezi 0 - 15, 20%. Když k tomu serfuju, tak je fyz.paměť na 90% využití a neklesá.. v porovnání s tím, jak to je na mojem několik let starém PC je to rozdíl.
Jinak rozhodně díky moc za pomoc !
Jinak rozhodně díky moc za pomoc !
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43292
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: prosím o kontrolu logu z Kaspersky Virus Removal Tool
Tak se na to podíváme.
Vypni rez.ochrany a firewall.
Spusť F-Secure Online Scanner
Tento skener je možno použít jen v prohlížeči Internet Explorer! Postupuj podle instrukcí na stránce F-Secure pro správnou instalaci. Akceptuj licenci. Po instalaci ActiveX, klikni na Full System Scan. Když stahování skončeno, automaticky začne sken . Vyčkej konce skenu, po jeho dobu neprováděj jiné operace ani neklikej myší. Když skončí sken klikni na tlačítko Automatic clearing (recommended). Poté klikni na tlačítko Show Report a zkopíruj a vlož sem .
+
Stáhni si OTL
na plochu. Ujisti se , že máš zavřena všechna ostatní okna a poklepej na ikonu OTL.Nahoře v okně pod Výstup klikni na minimální výstup.Pod Běžné registry změň na Vše. Zatrhni Kontrola na havěť “LOP“ a Kontrola na havěť “ Purity“ . Klikni na Prohledat. Všechny ostatní nastavení ponech jak jsou. Sken může trvat dlouho, až skončí otevřou se dva logy:
OTL.Txt
Extras.Txt
Jsou uloženy ve stejném místě jako OTL. Oba logy sem prosím zkopíruj.
Večer tady nebudu , tak buď poradí bledulka nebo pozdě večer či zítra..
Vypni rez.ochrany a firewall.
Spusť F-Secure Online Scanner
Tento skener je možno použít jen v prohlížeči Internet Explorer! Postupuj podle instrukcí na stránce F-Secure pro správnou instalaci. Akceptuj licenci. Po instalaci ActiveX, klikni na Full System Scan. Když stahování skončeno, automaticky začne sken . Vyčkej konce skenu, po jeho dobu neprováděj jiné operace ani neklikej myší. Když skončí sken klikni na tlačítko Automatic clearing (recommended). Poté klikni na tlačítko Show Report a zkopíruj a vlož sem .
+
Stáhni si OTL
na plochu. Ujisti se , že máš zavřena všechna ostatní okna a poklepej na ikonu OTL.Nahoře v okně pod Výstup klikni na minimální výstup.Pod Běžné registry změň na Vše. Zatrhni Kontrola na havěť “LOP“ a Kontrola na havěť “ Purity“ . Klikni na Prohledat. Všechny ostatní nastavení ponech jak jsou. Sken může trvat dlouho, až skončí otevřou se dva logy:
OTL.Txt
Extras.Txt
Jsou uloženy ve stejném místě jako OTL. Oba logy sem prosím zkopíruj.
Večer tady nebudu , tak buď poradí bledulka nebo pozdě večer či zítra..
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 8 hostů