Prosim o kontrolu logu Vyřešeno

[doyll]

Zdarec, spustil jsem combofix a ten mi zadal hlasku ze mam zaplej rezidentni stit Avg. v programu pridat odebrat jsem ho měl dvakrat pod sebou tak jsem jeste jednou stahl remover od avg. a odinstaloval. Už tam neni. Spustim combofix a znova hlaska zaplej štit...nic meně jsem pokračoval dal na vlastni riziko. combo spustil program a ja odešel na hodinu pryč , když se vratim pc po resartu. vsechno běži o 70% rychleji. mam považovat tenhle problem za vyřešenej???? Jestli jo tak smekam před vama klobouk.. A dik moc

[Reklama]

[jaro3]

Měl by si sem dát ten log z Combofixu , měl by být zde:
C:\Combofix(číslo).txt

[doyll]

Kde najdu ten log. ? jak jsem psal spustil jsem combofix a dal nevim protože se mi restartoval notas. a zadny poznamkovy blok mi nevyjel . Mam akci provest znovu?..... Tak jsem spustil combofix...sam se aktualizoval nic meně opět hlasil zaply štit avg. pokračoval jsem dal ...začal skenovat(akce mněla udajně trvat meně než deset min.) po hodině nic ...tak jsem ho ukončil ...Dal nevim, logo combofixu nevim kde hledat...

[doyll]

Složku C/combofix.txt jsem nenašel ...zkusim ještě jednou zapnout sken a tentokrat vyčkat třeba i dvě hodiny. nic meně musim odejit od compu.. doufam že se to vyřeši.. jen jestli neni problem v tom avg.

[jaro3]

Pokud není log v C:\ , zkus se podívat do C:\Qoobox nebo do C:\Combofix , nebo na ploše.

Lepší bude udělat nový Combofix- sken. Pokud jsou problémy , můžeš ho spustit i v nouz. režimu.

[doyll]

ComboFix 12-01-12.02 - ADAM 12.01.2012 14:25:51.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.246.8 [GMT 1:00]
Spuštěný z: c:\documents and settings\ADAM\Plocha\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Enabled/Outdated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\ADAM\WINDOWS
c:\windows\msmqinst.log
c:\windows\system32\TZLog.log
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-12-12 do 2012-01-12 )))))))))))))))))))))))))))))))
.
.
2012-01-11 22:50 . 2012-01-11 22:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-01-11 22:50 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-01-11 21:25 . 2012-01-11 21:25 -------- d-----w- c:\program files\GNU
2012-01-11 18:13 . 2012-01-11 18:13 388096 -c--a-r- c:\documents and settings\ADAM\Data aplikací\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-01-11 18:13 . 2012-01-11 18:13 -------- d-----w- c:\program files\Trend Micro
2012-01-11 12:58 . 2012-01-11 12:58 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Panda Security
2012-01-11 12:55 . 2012-01-11 23:46 -------- d-----w- c:\program files\Panda Security
2012-01-11 12:55 . 2012-01-11 12:55 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Panda Security
2012-01-11 08:38 . 2012-01-11 08:50 -------- d-----w- c:\documents and settings\All Users\Data aplikací\SecTaskMan
2012-01-10 15:28 . 2012-01-10 16:04 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Maxthon3
2012-01-10 15:27 . 2012-01-10 16:03 -------- d-----w- c:\program files\Maxthon3
2012-01-10 13:33 . 2012-01-10 13:33 -------- d-----w- c:\program files\Mz Ultimate Tools
2012-01-10 13:24 . 2010-11-09 14:35 21992 ----a-w- c:\windows\system32\drivers\cpuz135_x32.sys
2012-01-10 13:24 . 2012-01-10 13:24 -------- d-----w- c:\program files\CPUID
2012-01-10 01:27 . 2012-01-10 01:27 -------- d-----w- c:\program files\DVDVideoSoft
2012-01-09 20:41 . 2012-01-11 21:32 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\GRETECH
2012-01-09 20:40 . 2012-01-11 22:45 -------- d-----w- c:\program files\GRETECH
2012-01-09 19:37 . 2012-01-09 19:37 -------- d-----w- c:\windows\system32\wbem\Repository
2012-01-09 19:35 . 2012-01-10 01:28 -------- d-----w- c:\program files\Common Files\DVDVideoSoft
2012-01-09 19:33 . 2012-01-09 19:33 -------- d-----w- c:\program files\VS Revo Group
2012-01-08 23:28 . 2012-01-08 23:28 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Martau
2012-01-07 20:35 . 2012-01-09 19:34 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Mozilla(2)
2012-01-07 10:05 . 2012-01-09 19:35 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2012-01-06 17:55 . 2012-01-06 17:55 -------- d-----w- c:\program files\Common Files\Symantec Shared
2012-01-06 17:55 . 2012-01-06 17:57 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Norton
2012-01-05 14:36 . 2012-01-05 14:36 -------- d-----w- c:\documents and settings\All Users\Data aplikací\McAfee
2012-01-05 12:32 . 2012-01-10 01:29 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\DVDVideoSoft
2012-01-03 18:13 . 2012-01-03 18:17 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Audacity
2012-01-02 22:25 . 2012-01-02 22:26 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\BITS
2012-01-02 22:25 . 2012-01-02 22:25 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\FlashGet
2011-12-31 20:41 . 2011-12-31 20:41 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\AlcaTech
2011-12-31 20:40 . 2011-12-31 20:44 102400 ----a-w- c:\windows\system32\Setup.dll
2011-12-31 20:40 . 2011-12-31 20:40 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AlcaTech
2011-12-31 16:22 . 2011-12-31 16:23 -------- d-----w- c:\documents and settings\ADAM\Local Settings\Data aplikací\AskToolbar
2011-12-22 22:06 . 2011-12-22 22:06 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Malwarebytes
2011-12-22 22:06 . 2011-12-22 22:06 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-12-20 23:11 . 2011-12-20 23:11 -------- d-----w- c:\documents and settings\ADAM\Local Settings\Data aplikací\Adobe
2011-12-20 23:08 . 2012-01-09 00:41 -------- d-----w- c:\windows\SxsCaPendDel
2011-12-15 11:47 . 2012-01-11 17:19 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Lavasoft
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-06 22:26 . 2011-12-12 20:40 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-25 21:57 . 2006-03-02 12:00 293376 ----a-w- c:\windows\system32\winsrv.dll
2011-11-24 20:53 . 2006-03-02 12:00 162816 ----a-w- c:\windows\system32\drivers\NETBT.SYS
2011-11-23 14:40 . 2006-03-02 12:00 1859584 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2006-03-02 12:00 60416 ----a-w- c:\windows\system32\packager.exe
2011-11-04 19:13 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2006-03-02 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-11-03 15:29 . 2006-03-02 12:00 386560 ----a-w- c:\windows\system32\qdvd.dll
2011-11-03 15:29 . 2006-03-02 12:00 1294848 ----a-w- c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2006-03-02 12:00 1288192 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:32 . 2006-03-02 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:50 . 2006-03-02 12:00 2194944 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:50 . 2004-08-17 15:45 2071552 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-10-18 18:53 . 2011-11-29 16:24 6439528 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2011-10-18 17:10 . 2011-11-29 16:24 64616 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2011-10-18 11:13 . 2006-03-02 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-10-14 17:58 . 2011-11-29 16:24 20064872 ----a-w- c:\windows\RTHDCPL.EXE
2011-10-14 14:47 . 2006-03-02 12:00 23040 ----a-w- c:\windows\system32\mciseq.dll
2011-10-14 14:47 . 2006-03-02 12:00 174592 ----a-w- c:\windows\system32\winmm.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"RTHDCPL"="RTHDCPL.EXE" [2011-10-14 20064872]
"Realtime Audio Engine"="mmrtkrnl.exe" [2011-02-25 46592]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvCD4]
@="service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvD18]
@="service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvF58]
@="service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-10-13 08:27 17351304 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [10.1.2012 14:24 21992]
S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys --> c:\windows\system32\DRIVERS\AVGIDSEH.Sys [?]
S0 eapuaqk;eapuaqk;c:\windows\system32\drivers\rnnnyxli.sys --> c:\windows\system32\drivers\rnnnyxli.sys [?]
S1 eqcdidrv;eqcdidrv;\??\c:\windows\system32\drivers\eqcdidrv.sys --> c:\windows\system32\drivers\eqcdidrv.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 13:16 130384]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S2 srvCD4;srvCD4;c:\windows\system32\svchost.exe -k netsvcs [2.3.2006 13:00 14336]
S2 srvD18;srvD18;c:\windows\system32\svchost.exe -k netsvcs [2.3.2006 13:00 14336]
S2 srvF58;srvF58;c:\windows\system32\svchost.exe -k netsvcs [2.3.2006 13:00 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [29.11.2011 17:24 1691480]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys --> c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [?]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys --> c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [?]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys --> c:\windows\system32\DRIVERS\AVGIDSShim.Sys [?]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt --> c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [?]
S3 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe /medsvc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 Revoflt;Revoflt;c:\windows\system32\drivers\revoflt.sys [12.12.2011 23:01 27064]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 13:16 753504]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
srvCD4
srvF58
srvD18
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.mystart.com/?pr=vmn&id=pandasecuritytb&v=2_0
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = proxy.nasi.ova.czf:3128
IE: Free YouTube to MP3 Converter - c:\documents and settings\ADAM\Data aplikací\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: ????3?? - c:\documents and settings\ADAM\Data aplikací\FlashGetBHO\GetUrl.htm
IE: ????3?????? - c:\documents and settings\ADAM\Data aplikací\FlashGetBHO\GetAllUrl.htm
TCP: Interfaces\{C5DEB85A-3513-4A75-904B-C9765A93A456}: NameServer = 172.23.76.1,172.23.76.225
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
MSConfigStartUp-MSMSGS - c:\program files\Messenger\msmsgs.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-12 14:37
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\EverestDriver]
"ImagePath"="\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvCD4]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\ADAM\LOCALS~1\Temp\srvCD4.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvD18]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\WINDOWS\Temp\srvD18.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvF58]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\ADAM\LOCALS~1\Temp\srvF58.tmp"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-1614895754-1647877149-725345543-1003\Software\Microsoft\Internet Explorer\MenuExt\O(uë_fŹ3*N}Ź]
@="c:\\Documents and Settings\\ADAM\\Data aplikací\\FlashGetBHO\\GetUrl.htm"
"contexts"=dword:00000022
.
[HKEY_USERS\S-1-5-21-1614895754-1647877149-725345543-1003\Software\Microsoft\Internet Explorer\MenuExt\O(uë_fŹ3*N}ŹhQčţ”Ąc]
@="c:\\Documents and Settings\\ADAM\\Data aplikací\\FlashGetBHO\\GetAllUrl.htm"
"contexts"=dword:000000f3
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(2620)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\mmrtkrnl.exe
.
**************************************************************************
.
Celkový čas: 2012-01-12 14:43:10 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-01-12 13:43
.
Před spuštěním: Volných bajtů: 28 172 492 800
Po spuštění: Volných bajtů: 28 475 080 704
.
- - End Of File - - BEE53E80A2745F5FA2BAE8A75DA88020

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,00,00


Zvol uložit na plochu, jako název dej: fix.reg , typ: všechny soubory.
Najdi na ploše tento soubor , poklepej na něj a potvrď do registru.



Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
SecCenter::
AV: AVG Anti-Virus Free Edition 2012 *Enabled/Outdated*

File::
c:\progra~1\AVG\AVG2012\avgrsx.exe
c:\windows\system32\drivers\rnnnyxli.sys
c:\windows\system32\drivers\eqcdidrv.sys

Folder::
c:\documents and settings\ADAM\Data aplikací\Panda Security
c:\program files\Panda Security
c:\documents and settings\All Users\Data aplikací\Panda Security
c:\documents and settings\ADAM\Local Settings\Data aplikací\AskToolbar
c:\windows\SxsCaPendDel
c:\documents and settings\All Users\Data aplikací\Lavasoft

Driver::
AVGIDSEH
eapuaqk
eqcdidrv
gupdate
AVGIDSDriver
AVGIDSFilter
AVGIDSShim
EverestDriver
gupdatem

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvCD4]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\ADAM\LOCALS~1\Temp\srvCD4.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvD18]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\WINDOWS\Temp\srvD18.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvF58]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\ADAM\LOCALS~1\Temp\srvF58.tmp"

srvCD4--- co je to za program? Sis ho stáhnul?

[doyll]

srvCD4..nevim ja ten notas dostal zadara uz zavirivanej . vubec neslapal , vlastne to bych lhal ,slapal ale jen trochu

[jaro3]

aha..

Ten script v Combofixu zatím nedělej...

Stáhni si TDSSKiller

Na svojí plochu.Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.

+
Stáhni si aswMBR

na svojí plochu.Poklepej na aswMBR.exe. Klikni na Scan.
Po skenu klikni na aswASW.log a ulož si ho na plochu , vlož sem celý obsak toho logu.

[doyll]

promin ale ten script jsem už udělal, tady je + htjLogfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:06:46, on 13.1.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\mmrtkrnl.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystart.com/?pr=vmn&id=pandasecuritytb&v=2_0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.nasi.ova.czf:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Documents and Settings\ADAM\Data aplikací\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: WikiKomentáře Google... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 2852849343
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5DEB85A-3513-4A75-904B-C9765A93A456}: NameServer = 172.23.76.1,172.23.76.225
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Služba Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Služba Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)

--
End of file - 3982 bytes

[doyll]

ComboFix 12-01-12.04 - ADAM 13.01.2012 3:55.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.246.6 [GMT 1:00]
Spuštěný z: c:\documents and settings\ADAM\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\ADAM\Plocha\CFScript.txt
AV: AVG Anti-Virus Free Edition 2012 *Enabled/Outdated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
FILE ::
"c:\progra~1\AVG\AVG2012\avgrsx.exe"
"c:\windows\system32\drivers\eqcdidrv.sys"
"c:\windows\system32\drivers\rnnnyxli.sys"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Panda Security
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-12-13 do 2012-01-13 )))))))))))))))))))))))))))))))
.
.
2012-01-11 22:50 . 2012-01-11 22:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-01-11 22:50 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-01-11 21:25 . 2012-01-11 21:25 -------- d-----w- c:\program files\GNU
2012-01-11 18:13 . 2012-01-11 18:13 388096 -c--a-r- c:\documents and settings\ADAM\Data aplikací\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-01-11 18:13 . 2012-01-11 18:13 -------- d-----w- c:\program files\Trend Micro
2012-01-11 12:58 . 2012-01-11 12:58 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Panda Security
2012-01-11 12:55 . 2012-01-11 12:55 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Panda Security
2012-01-11 08:38 . 2012-01-11 08:50 -------- d-----w- c:\documents and settings\All Users\Data aplikací\SecTaskMan
2012-01-10 15:28 . 2012-01-10 16:04 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Maxthon3
2012-01-10 15:27 . 2012-01-10 16:03 -------- d-----w- c:\program files\Maxthon3
2012-01-10 13:33 . 2012-01-10 13:33 -------- d-----w- c:\program files\Mz Ultimate Tools
2012-01-10 13:24 . 2010-11-09 14:35 21992 ----a-w- c:\windows\system32\drivers\cpuz135_x32.sys
2012-01-10 13:24 . 2012-01-10 13:24 -------- d-----w- c:\program files\CPUID
2012-01-10 01:27 . 2012-01-10 01:27 -------- d-----w- c:\program files\DVDVideoSoft
2012-01-09 20:41 . 2012-01-11 21:32 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\GRETECH
2012-01-09 20:40 . 2012-01-11 22:45 -------- d-----w- c:\program files\GRETECH
2012-01-09 19:37 . 2012-01-09 19:37 -------- d-----w- c:\windows\system32\wbem\Repository
2012-01-09 19:35 . 2012-01-10 01:28 -------- d-----w- c:\program files\Common Files\DVDVideoSoft
2012-01-09 19:33 . 2012-01-09 19:33 -------- d-----w- c:\program files\VS Revo Group
2012-01-08 23:28 . 2012-01-08 23:28 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Martau
2012-01-07 20:35 . 2012-01-09 19:34 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Mozilla(2)
2012-01-07 10:05 . 2012-01-09 19:35 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2012-01-06 17:55 . 2012-01-06 17:55 -------- d-----w- c:\program files\Common Files\Symantec Shared
2012-01-06 17:55 . 2012-01-06 17:57 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Norton
2012-01-05 14:36 . 2012-01-05 14:36 -------- d-----w- c:\documents and settings\All Users\Data aplikací\McAfee
2012-01-05 12:32 . 2012-01-10 01:29 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\DVDVideoSoft
2012-01-03 18:13 . 2012-01-03 18:17 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Audacity
2012-01-02 22:25 . 2012-01-02 22:26 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\BITS
2012-01-02 22:25 . 2012-01-02 22:25 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\FlashGet
2011-12-31 20:41 . 2011-12-31 20:41 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\AlcaTech
2011-12-31 20:40 . 2011-12-31 20:44 102400 ----a-w- c:\windows\system32\Setup.dll
2011-12-31 20:40 . 2011-12-31 20:40 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AlcaTech
2011-12-31 16:22 . 2011-12-31 16:23 -------- d-----w- c:\documents and settings\ADAM\Local Settings\Data aplikací\AskToolbar
2011-12-22 22:06 . 2011-12-22 22:06 -------- dc----w- c:\documents and settings\ADAM\Data aplikací\Malwarebytes
2011-12-22 22:06 . 2011-12-22 22:06 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-12-20 23:11 . 2011-12-20 23:11 -------- d-----w- c:\documents and settings\ADAM\Local Settings\Data aplikací\Adobe
2011-12-20 23:08 . 2012-01-09 00:41 -------- d-----w- c:\windows\SxsCaPendDel
2011-12-15 11:47 . 2012-01-11 17:19 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Lavasoft
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-06 22:26 . 2011-12-12 20:40 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-25 21:57 . 2006-03-02 12:00 293376 ----a-w- c:\windows\system32\winsrv.dll
2011-11-24 20:53 . 2006-03-02 12:00 162816 ----a-w- c:\windows\system32\drivers\NETBT.SYS
2011-11-23 14:40 . 2006-03-02 12:00 1859584 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2006-03-02 12:00 60416 ----a-w- c:\windows\system32\packager.exe
2011-11-04 19:13 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2006-03-02 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-11-03 15:29 . 2006-03-02 12:00 386560 ----a-w- c:\windows\system32\qdvd.dll
2011-11-03 15:29 . 2006-03-02 12:00 1294848 ----a-w- c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2006-03-02 12:00 1288192 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:32 . 2006-03-02 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:50 . 2006-03-02 12:00 2194944 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:50 . 2004-08-17 15:45 2071552 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-10-18 18:53 . 2011-11-29 16:24 6439528 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2011-10-18 17:10 . 2011-11-29 16:24 64616 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2011-10-18 11:13 . 2006-03-02 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"RTHDCPL"="RTHDCPL.EXE" [2011-10-14 20064872]
"Realtime Audio Engine"="mmrtkrnl.exe" [2011-02-25 46592]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvCD4]
@="service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvD18]
@="service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvF58]
@="service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-10-13 08:27 17351304 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [x]
R0 eapuaqk;eapuaqk;c:\windows\System32\drivers\rnnnyxli.sys [x]
R1 eqcdidrv;eqcdidrv;c:\windows\system32\drivers\eqcdidrv.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 srvCD4;srvCD4;c:\windows\system32\svchost.exe [2008-04-14 14336]
R2 srvD18;srvD18;c:\windows\system32\svchost.exe [2008-04-14 14336]
R2 srvF58;srvF58;c:\windows\system32\svchost.exe [2008-04-14 14336]
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-18 1691480]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [x]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [x]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys [x]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [x]
R3 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 Revoflt;Revoflt;c:\windows\system32\DRIVERS\revoflt.sys [2009-12-30 27064]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [2010-11-09 21992]
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
srvCD4
srvF58
srvD18
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.mystart.com/?pr=vmn&id=pandasecuritytb&v=2_0
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = proxy.nasi.ova.czf:3128
IE: Free YouTube to MP3 Converter - c:\documents and settings\ADAM\Data aplikací\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: ????3?? - c:\documents and settings\ADAM\Data aplikací\FlashGetBHO\GetUrl.htm
IE: ????3?????? - c:\documents and settings\ADAM\Data aplikací\FlashGetBHO\GetAllUrl.htm
TCP: Interfaces\{C5DEB85A-3513-4A75-904B-C9765A93A456}: NameServer = 172.23.76.1,172.23.76.225
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-13 08:36
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\EverestDriver]
"ImagePath"="\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvCD4]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\ADAM\LOCALS~1\Temp\srvCD4.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvD18]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\WINDOWS\Temp\srvD18.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\srvF58]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\ADAM\LOCALS~1\Temp\srvF58.tmp"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-1614895754-1647877149-725345543-1003\Software\Microsoft\Internet Explorer\MenuExt\O(uë_fŹ3*N}Ź]
@="c:\\Documents and Settings\\ADAM\\Data aplikací\\FlashGetBHO\\GetUrl.htm"
"contexts"=dword:00000022
.
[HKEY_USERS\S-1-5-21-1614895754-1647877149-725345543-1003\Software\Microsoft\Internet Explorer\MenuExt\O(uë_fŹ3*N}ŹhQčţ”Ąc]
@="c:\\Documents and Settings\\ADAM\\Data aplikací\\FlashGetBHO\\GetAllUrl.htm"
"contexts"=dword:000000f3
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(1752)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\rundll32.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\mmrtkrnl.exe
.
**************************************************************************
.
Celkový čas: 2012-01-13 08:42:31 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-01-13 07:42
.
Před spuštěním: Volných bajtů: 27 201 556 480
Po spuštění: Volných bajtů: 27 444 891 648
.
- - End Of File - - 83E4A17C398340DC6914D056282F8F77

[jaro3]

Ten script stejně udělej znovu , je třeba zkopírovat celý script ( je tam vpravo posuvník).

S tímto:

Kód: Vybrat vše

KillAll::
File::
c:\progra~1\AVG\AVG2012\avgrsx.exe
c:\windows\system32\drivers\rnnnyxli.sys
c:\windows\system32\drivers\eqcdidrv.sys

Folder::
c:\documents and settings\ADAM\Data aplikací\Panda Security
c:\program files\Panda Security
c:\documents and settings\All Users\Data aplikací\Panda Security
c:\documents and settings\ADAM\Local Settings\Data aplikací\AskToolbar
c:\windows\SxsCaPendDel
c:\documents and settings\All Users\Data aplikací\Lavasoft

Driver::
AVGIDSEH
eapuaqk
eqcdidrv
gupdate
AVGIDSDriver
AVGIDSFilter
AVGIDSShim
EverestDriver
gupdatem

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

DDS::
uStart Page = hxxp://www.mystart.com/?pr=vmn&id=pandasecuritytb&v=2_0


Pak TSSKiller a aswMBR.