Otevírající se okno s reklamou. Vyřešeno

[0i_]

Mám tu menší problém, vždy po nějakém čase cca 2 hodiny se mi otevře okno prohlížeče internetu exploreru kde naskočí reklama (např.: na výhru iPhonu). Skenoval sem PC AWC, CCleanerem, antivirákem (Offi. verze ESET NOD 32 a nic nepomohlo). Prosim o radu jak se toho zbavit. Díky!

[Reklama]

[memphisto]

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Update Malwarebytes' Anti-Malware (Aktualizace Malwarebytes' Anti-Malware) a Launch Malwarebytes' Anti-Malware (Spustit aplikaci Malwarebytes' Anti-Malware), pokud jo tak klikni na tlačítko Finish
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Perform Quick Scan (Provést rychlý sken) a klikni na tlačítko Scan (Skenovat)
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- pak zvol možnost Save Logfile a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[0i_]

Celý obsah:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Verze databáze: 6702

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28.5.2011 21:11:24
mbam-log-2011-05-28 (21-10-57).txt

Typ kontroly: Rychlý test
Testované objekty: 261515
Uplynulý čas: 23 minut, 43 sekund

Infikované procesy v paměti: 1
Infikované moduly v paměti: 0
Infikované klíče v registru: 11
Infikované hodnoty v registru: 1
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 7

Infikované procesy v paměti:
c:\WINDOWS\Acorub.exe (Trojan.Downloader.VCP) -> 2916 -> No action taken.

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
HKEY_CLASSES_ROOT\CLSID\{984A9162-8891-4D19-8CFE-17648BB4E1EC} (Spyware.GamePlayLabs) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{199C34A4-5436-403F-A250-219E16672570} (Spyware.GamePlayLabs) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8E7AD93B-3E87-423D-947F-A321FA7E31C4} (Spyware.GamePlayLabs) -> No action taken.
HKEY_CLASSES_ROOT\BHO.GamePlayLabsBHO.1 (Spyware.GamePlayLabs) -> No action taken.
HKEY_CLASSES_ROOT\BHO.GamePlayLabsBHO (Spyware.GamePlayLabs) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{984A9162-8891-4D19-8CFE-17648BB4E1EC} (Spyware.GamePlayLabs) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{984A9162-8891-4D19-8CFE-17648BB4E1EC} (Spyware.GamePlayLabs) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\4ECYTQ9SIC (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\J40NOZ44HU (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Infikované hodnoty v registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\J40NOZ44HU (Trojan.Downloader.VCP) -> Value: J40NOZ44HU -> No action taken.

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
c:\WINDOWS\Acorub.exe (Trojan.Downloader.VCP) -> No action taken.
c:\documents and settings\Admin\local settings\data aplikací\gameplaylabs plugin\BHO.dll (Spyware.GamePlayLabs) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\Alw.exe (Trojan.Downloader.VCP) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\Alz.exe (Trojan.Downloader.VCP) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\sshnas21.dll (Trojan.Downloader.VCP) -> No action taken.
c:\WINDOWS\Acorua.exe (Trojan.Downloader.VCP) -> No action taken.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> No action taken.

[memphisto]

- Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Vypni rezidentní štít antiviru a antispywaru
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[0i_]

Obsah MbAM:

Hned po dokončení operace Remove Selected se mi automaticky restaltoval počítač a žádný log t neukázalo.


Obsah Combofix:

ComboFix 11-05-27.02 - Admin 29.05.2011 13:45:17.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.511.299 [GMT 2:00]
Spuštěný z: c:\download\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Rezidentní štít AV je zapnutý
.
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\CFLog
c:\windows\system32\xpysys.dll
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-04-28 do 2011-05-29 )))))))))))))))))))))))))))))))
.
.
2011-05-28 18:43 . 2011-05-28 18:43 -------- d-----w- c:\documents and settings\Admin\Data aplikací\Malwarebytes
2011-05-28 18:43 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-28 18:43 . 2011-05-28 18:43 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Data aplikací\Malwarebytes
2011-05-28 18:43 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-28 18:43 . 2011-05-28 18:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-28 18:15 . 2011-05-28 18:15 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-28 15:01 . 2011-05-28 15:01 -------- d-----w- c:\documents and settings\Admin\Local Settings\Data aplikací\ESET
2011-05-28 14:59 . 2011-05-28 14:59 -------- d-----w- c:\documents and settings\LocalService.NT AUTHORITY\Local Settings\Data aplikací\ESET
2011-05-28 14:43 . 2011-05-28 14:45 -------- d-----w- c:\program files\ESET NOD32 Antivirus
2011-05-28 14:43 . 2011-05-28 14:43 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Data aplikací\ESET
2011-05-26 19:09 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2011-05-26 19:09 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2011-05-26 19:09 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2011-05-26 19:09 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2011-05-26 19:09 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2011-05-26 19:09 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2011-05-26 19:09 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2011-05-26 19:09 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2011-05-26 19:09 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2011-05-26 19:09 . 2011-05-26 19:09 -------- d-----w- C:\dde51e426e9e316a1f3b21db964d
2011-05-25 14:11 . 2006-10-22 13:06 208896 ----a-w- c:\windows\system32\NVUNINST.EXE
2011-05-20 15:18 . 2010-12-17 05:56 545 ----a-w- c:\windows\UC.PIF
2011-05-20 15:18 . 2010-12-17 05:56 545 ----a-w- c:\windows\RAR.PIF
2011-05-20 15:18 . 2010-12-17 05:56 545 ----a-w- c:\windows\PKZIP.PIF
2011-05-20 15:18 . 2010-12-17 05:56 545 ----a-w- c:\windows\PKUNZIP.PIF
2011-05-20 15:18 . 2010-12-17 05:56 545 ----a-w- c:\windows\NOCLOSE.PIF
2011-05-20 15:18 . 2010-12-17 05:56 545 ----a-w- c:\windows\LHA.PIF
2011-05-20 15:18 . 2010-12-17 05:56 545 ----a-w- c:\windows\ARJ.PIF
2011-05-20 15:18 . 2011-05-20 15:19 -------- d-----w- c:\documents and settings\Admin\Data aplikací\GHISLER
2011-05-17 06:20 . 2011-05-17 06:20 -------- d-s---w- c:\documents and settings\Admin\UserData
2011-05-13 17:30 . 2011-05-13 17:30 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Data aplikací\CoffeeCup Software
2011-05-13 17:21 . 2011-05-13 17:21 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Data aplikací\FlashFXP
2011-05-12 15:05 . 2011-05-12 15:05 -------- d-----w- c:\program files\Fraps
2011-05-12 15:01 . 2011-05-12 15:01 388096 ----a-r- c:\documents and settings\Admin\Data aplikací\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-05-08 14:24 . 2011-05-08 14:24 -------- d-----w- c:\windows\Sun
2011-05-04 14:40 . 2011-05-04 14:40 -------- d-----w- c:\documents and settings\Admin\Local Settings\Data aplikací\Temp
2011-05-04 14:40 . 2011-05-04 14:40 -------- d-----w- c:\documents and settings\Admin\Local Settings\Data aplikací\Adobe
2011-05-01 09:10 . 2010-06-02 02:55 74072 ----a-w- c:\windows\system32\XAPOFX1_5.dll
2011-05-01 09:10 . 2010-06-02 02:55 527192 ----a-w- c:\windows\system32\XAudio2_7.dll
2011-05-01 09:08 . 2008-03-05 14:00 25608 ----a-w- c:\windows\system32\X3DAudio1_3.dll
2011-05-01 09:07 . 2005-05-26 13:34 2297552 ----a-w- c:\windows\system32\d3dx9_26.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-27 05:32 . 2011-04-27 05:32 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-04-27 05:32 . 2011-04-27 05:32 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-04-14 07:47 . 2011-04-14 07:47 86016 ----a-w- c:\windows\system32\frapsvid.dll
2011-03-07 05:33 . 2011-04-02 13:54 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:43 . 2008-04-14 12:00 434176 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2008-04-14 12:00 1857920 ----a-w- c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2010-09-28 2408144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET NOD32 Antivirus\egui.exe" [2009-03-19 2029640]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-11-15 19:02 932288 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-11-15 19:02 35736 ----a-w- c:\program files\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 22:47 31016 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\Admin\\Plocha\\Skype.exe"=
"c:\\Program Files\\Quake III Arena\\Quake III Arena\\Quake III Arena\\quake3.exe"=
"c:\\Program Files\\Valve\\hl.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Day of Defeat\\hl.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [19.3.2009 11:44 107256]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [19.3.2009 11:45 93848]
R2 ekrn;ESET Service;c:\program files\ESET NOD32 Antivirus\ekrn.exe [19.3.2009 11:44 731840]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28.5.2011 20:43 38224]
S3 XDva385;XDva385;\??\c:\windows\system32\XDva385.sys --> c:\windows\system32\XDva385.sys [?]
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.0.0.138
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-29 14:03
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Celkový čas: 2011-05-29 14:10:52 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-05-29 12:10
.
Před spuštěním: 2 231 599 104
Po spuštění: 2 348 613 632
.
WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 4A67AD5F6CC9FB33D66D044AF28882C3

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

DirLook::
c:\documents and settings\Admin\Local Settings\Data aplikací\Temp

Driver::
XDva385


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT


Upozornění : Může se stát, že po aplikaci skriptu a restartu počítače Windows nenaběhnou, pak znovu restartuj počítač, mačkej F8 a pak zvol poslední známou funkční konfiguraci.

[0i_]

Problém vyřešen už po tom Combofixu. Díky :)

[Žbeky]

Přesto to ještě dočistíme. Udělej to, co radil jaro3