Mám vir win32 Vyřešeno

[Susan Iv]

Ahoj, mám problém s virem Win32. Podle rady ke stejnmu problému zde již řešenému jsem nainstalovala Mbam a provedla rychlou kontrolu s tímto výsledkem:

Malwarebytes' Anti-Malware 1.41
Verze databáze: 2775
Windows 5.1.2600 Service Pack 3

27.11.2009 12:20:28
mbam-log-2009-11-27 (12-20-18).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 140262
Uplynulý čas: 6 minute(s), 18 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 4
Infikované hodnoty registru: 2
Infikované datové položky registru: 0
Infikované adresáře: 7
Infikované soubory: 5

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken.

Infikované hodnoty registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MyWebSearch Plugin (Adware.MyWebSearch) -> No action taken.

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
C:\Program Files\FunWebProducts (Adware.MyWebSearch) -> No action taken.
C:\Program Files\FunWebProducts\ScreenSaver (Adware.MyWebSearch) -> No action taken.
C:\Program Files\FunWebProducts\ScreenSaver\Images (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Settings (Adware.MyWebSearch) -> No action taken.

Infikované soubory:
C:\Recycled\Dc395.exe (Adware.MyWebSearch) -> No action taken.
C:\WINDOWS\system32\f3PSSavr.scr (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> No action taken.

Infikované soubory jsem potom všechny smazala.
Nový log je tento:

Malwarebytes' Anti-Malware 1.41
Verze databáze: 2775
Windows 5.1.2600 Service Pack 3

27.11.2009 15:00:33
mbam-log-2009-11-27 (15-00-33).txt

Typ kontroly: Kompletní kontrola (C:\|)
Zkontrolované objekty: 213418
Uplynulý čas: 26 minute(s), 48 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 3

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\System Volume Information\_restore{0896A68E-3990-4714-8CC2-F3D3D364802D}\RP4\A0000803.scr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0896A68E-3990-4714-8CC2-F3D3D364802D}\RP4\A0000804.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0896A68E-3990-4714-8CC2-F3D3D364802D}\RP4\A0000805.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.


Jak se těch potvor můžu zbavit na dobro? Docela se bojím instalovat ComboFix, protože jsem absolutní amatér a v současné době pracuju v cizině a když mi PC klekne, budu totálně vyřízená . Děkuji moc předem za radu. Susan

[Reklama]

[Damned]

Vítám tě Susan.

Z mého podpisu si stáhni HijackThis a podle návodu udělej log a vlož mi ho sem.

[Susan Iv]

Jéé, děkuju, omlovám se za pozdní reakce, trochu mi to trvá. Tvoje jsou bleskové.
Stáhla jsem Hijack a udělala jsem "do a system scan and save logfile", který kopíruju níže.
Podle návodu jsem ještě neudělala "zatrhnout a fixnout", chci se radši ještě jednou zeptat, jestli to platí taky pro mne.
Omlouvám se, že jsem opatrná, mám strach, že něco udělám blbě a PC mi zdechne :-). Díky, S.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:28:42, on 4.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.codecguide.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Služba Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Unknown owner - C:\Program Files\InterBase\bin\ibguard.exe (file missing)
O23 - Service: InterBase Server (InterBaseServer) - Unknown owner - C:\Program Files\InterBase\bin\ibserver.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 6877 bytes

[Damned]

Zatrhnout a fixnou se provádí na požádání, a píšeme to, jako třeba teď.

Spusť HJT (HijackThis), vypni prohlížeče, odpoj se od internetu a fixni (spustit HJT, "Do a system scan only",
zatrhnout políčko před hodnotou, zmáčknout "Fix checked" a poté "Ano"):

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
*****************************************************************************************************************************************
Vypni rezidentní štít antiviru (pokud máš tak i antispyware).
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Susan Iv]

Udělala jsem vše podle návodu. Akorát Combo už jsem si stáhla dřív - asi před týdnem, tak mi to řeklo, že mám "režim s omezenou funkčností". Během aplikace Comba se zobrazilo upozornění, že v PC nemám "konzolu pro zotavení" a že si ji mám stáhnout z internetu. K němu jsem ale nebyla připjena, tak jsem to ingorovala... S.


ComboFix 09-11-26.02 - ACER 04.12.2009 16:29.1.1 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.510.209 [GMT 0:00]
Spuštěný z: c:\documents and settings\ACER\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
- REŽIM S OMEZENOU FUNKČNOSTÍ -
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-11-04 do 2009-12-04 )))))))))))))))))))))))))))))))
.

2009-12-04 15:28 . 2009-12-04 15:28 -------- d-----w- c:\program files\Trend Micro
2009-11-29 15:42 . 2009-11-29 15:42 73728 ----a-w- c:\windows\ALCFDRTM.EXE
2009-11-27 12:12 . 2009-09-10 14:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-27 12:12 . 2009-09-10 14:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-27 12:12 . 2009-11-27 12:12 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-26 18:01 . 2009-11-26 18:01 -------- d-----w- c:\windows\system32\wbem\Repository
2009-11-26 18:01 . 2009-11-26 18:01 -------- d-----w- C:\TOTALCMD
2009-11-26 09:17 . 2009-11-26 09:17 -------- d-sh--w- c:\documents and settings\LocalService.NT AUTHORITY\IETldCache
2009-11-26 09:15 . 2009-11-26 09:15 -------- d-sh--w- c:\documents and settings\ACER\IECompatCache
2009-11-26 09:14 . 2009-11-26 09:14 -------- d-sh--w- c:\documents and settings\ACER\PrivacIE
2009-11-26 09:12 . 2009-11-26 09:12 -------- d-sh--w- c:\documents and settings\ACER\IETldCache
2009-11-26 09:10 . 2009-10-02 04:44 92160 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-11-26 09:10 . 2009-11-26 09:10 -------- d-----w- c:\windows\ie8updates
2009-11-26 09:09 . 2009-08-29 07:59 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-11-26 09:09 . 2009-08-29 07:58 1985536 ------w- c:\windows\system32\dllcache\iertutil.dll
2009-11-26 09:09 . 2009-08-29 07:58 594432 ------w- c:\windows\system32\dllcache\msfeeds.dll
2009-11-26 09:09 . 2009-08-29 07:58 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-11-26 09:09 . 2009-08-29 07:58 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-11-26 09:09 . 2009-08-29 07:58 11069440 ------w- c:\windows\system32\dllcache\ieframe.dll
2009-11-26 09:08 . 2009-11-26 09:08 -------- d--h--w- c:\windows\ie8
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\UC.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\RAR.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\PKZIP.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\PKUNZIP.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\NOCLOSE.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\LHA.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\ARJ.PIF
2009-11-22 14:58 . 2009-11-22 14:58 -------- d-----w- c:\program files\Paint.NET
2009-11-22 14:53 . 1999-03-23 09:12 299520 ----a-w- c:\windows\uninst.exe
2009-11-22 14:53 . 2009-11-22 14:53 -------- d-----w- c:\documents and settings\ACER\WINDOWS
2009-11-22 14:36 . 2009-11-22 14:36 346624 ------w- c:\windows\system32\gds32.dll
2009-11-22 14:32 . 2009-11-22 14:32 -------- d-----w- c:\documents and settings\ACER\.netbeans
2009-11-22 14:24 . 2009-11-22 14:24 -------- d-----w- c:\documents and settings\ACER\Data aplikacˇ
2009-11-22 14:24 . 2009-11-22 14:24 -------- d-----w- c:\program files\Kiyut
2009-11-19 16:04 . 2009-11-19 16:04 -------- d-----w- c:\program files\Scoperius
2009-11-19 12:26 . 2009-11-19 12:26 -------- d-----w- c:\windows\system32\XPSViewer
2009-11-19 12:26 . 2009-11-19 12:26 -------- d-----w- c:\program files\Reference Assemblies
2009-11-19 12:26 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-11-19 12:26 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-11-19 12:26 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-11-19 12:26 . 2009-11-19 12:26 -------- d-----w- C:\d75a326555b817ed7743f243a9282ed1
2009-11-19 12:26 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-11-19 12:26 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-11-19 12:26 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-11-19 12:26 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll
2009-11-15 17:42 . 2007-03-05 07:32 201216 ----a-w- c:\windows\system32\mediarcpt.dll
2009-11-15 17:41 . 2009-11-15 17:42 -------- d-----w- c:\program files\Recepty doma
2009-11-15 17:38 . 2009-11-15 17:38 -------- d-----w- c:\program files\Polar
2009-11-15 16:48 . 2009-11-15 16:48 -------- d-----w- c:\program files\Google
2009-11-15 16:01 . 2009-11-15 16:01 -------- d-----w- c:\program files\PVD15
2009-11-15 13:12 . 2009-11-15 13:12 -------- d-----w- c:\program files\TheSage
2009-11-15 13:09 . 2009-11-15 13:09 -------- d-----w- c:\program files\Vitware
2009-11-14 14:40 . 2009-11-14 14:40 -------- d-----w- c:\program files\Zbraně a Střelivo 2007
2009-11-14 14:38 . 2009-11-14 14:38 -------- d-----w- c:\program files\TypingMaster
2009-11-14 13:58 . 2009-11-14 14:58 2 ----a-w- c:\windows\system\WINX323.DLL
2009-11-14 13:57 . 2000-05-24 22:19 61440 ----a-w- c:\windows\system32\GkSui18.EXE
2009-11-14 13:57 . 1994-05-01 22:00 398416 ----a-w- c:\windows\system32\VBRUN300.DLL
2009-11-13 18:08 . 2009-11-13 18:08 -------- d-----w- c:\windows\speech
2009-11-13 18:08 . 2009-11-13 18:08 -------- d-----w- c:\program files\Keepinhead
2009-11-13 17:59 . 2009-11-13 17:59 -------- d-----w- c:\program files\EasyLanguage
2009-11-13 17:46 . 2009-11-13 17:46 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-11-13 17:46 . 2009-11-13 17:46 282624 ----a-r- c:\windows\Setup1.exe
2009-11-13 17:46 . 2009-11-13 17:46 102400 ----a-w- c:\windows\system32\VB6STKIT.DLL
2009-11-11 13:48 . 2009-11-11 13:48 -------- d-----w- c:\program files\Flow Hospitality

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-04 13:43 . 2009-10-12 16:09 12 ----a-w- c:\windows\bthservsdp.dat
2009-11-21 12:54 . 2001-10-25 14:00 79440 ----a-w- c:\windows\system32\perfc005.dat
2009-11-21 12:54 . 2001-10-25 14:00 432516 ----a-w- c:\windows\system32\perfh005.dat
2009-10-31 13:25 . 2009-10-31 13:25 -------- d-----w- c:\program files\DsNET Corp
2009-10-31 08:18 . 2009-10-31 08:18 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-28 07:07 . 2009-10-12 15:34 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-10-28 07:07 . 2009-10-12 15:34 2426 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2009-10-28 07:05 . 2009-10-12 15:34 8972 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2009-10-12 17:14 . 2009-10-12 17:14 -------- d-----w- c:\program files\Microsoft Works
2009-10-12 17:14 . 2009-10-12 17:14 -------- d-----w- c:\program files\MSBuild
2009-10-12 16:55 . 2009-10-12 16:55 -------- d-----w- c:\program files\Nero
2009-10-12 16:41 . 2009-10-12 16:41 0 ----a-w- c:\windows\nsreg.dat
2009-10-12 16:37 . 2009-10-12 16:37 -------- d-----w- c:\program files\Foxit Software
2009-10-12 16:37 . 2009-10-12 16:37 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-10-12 16:35 . 2009-10-12 16:35 -------- d-----w- c:\program files\ESET
2009-10-12 16:01 . 2009-10-12 16:01 -------- d-----w- c:\program files\WIDCOMM
2009-10-12 15:31 . 2009-10-12 15:31 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-10-12 15:31 . 2009-10-12 15:32 458752 ----a-w- c:\windows\system32\w29NCPA.dll
2009-10-12 15:31 . 2009-10-12 15:32 3222784 ----a-w- c:\windows\system32\drivers\w29n51.sys
2009-10-12 15:31 . 2009-10-12 16:09 1654784 ----a-w- c:\windows\system32\W29MLRES.dll
2009-10-12 15:31 . 2009-10-12 16:09 13 ----a-w- c:\windows\system32\drivers\verfile.tic
2009-10-12 15:28 . 2009-10-12 15:28 8655 ----a-w- c:\windows\system32\drivers\o2mwxp.cat
2009-10-12 15:28 . 2009-10-12 15:28 8263 ----a-w- c:\windows\system32\drivers\o2mmb.cat
2009-10-12 15:28 . 2009-10-12 15:28 6844 ----a-w- c:\windows\system32\drivers\MbxStby.sys
2009-10-12 15:28 . 2009-10-12 15:28 49152 ----a-w- c:\windows\system32\mbxfinst.exe
2009-10-12 15:28 . 2009-10-12 15:28 45056 ----a-w- c:\windows\system32\RMDevice.dll
2009-10-12 15:28 . 2009-10-12 15:28 4286 ----a-w- c:\windows\system32\drivers\O2MWXP.INF
2009-10-12 15:28 . 2009-10-12 15:28 196480 ----a-w- c:\windows\system32\drivers\o2mmb.sys
2009-10-12 15:28 . 2009-10-12 15:28 1760 ----a-w- c:\windows\system32\drivers\O2mmb.inf
2009-10-12 15:27 . 2009-10-12 15:59 77824 ----a-w- c:\windows\SoundMan.exe
2009-10-12 15:27 . 2009-10-12 15:59 9767936 ----a-w- c:\windows\RTLCPL.EXE
2009-10-12 15:27 . 2009-10-12 15:59 8376832 ------w- c:\windows\RTHDCPL.exe
2009-10-12 15:27 . 2009-10-12 15:59 2329408 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2009-10-12 15:27 . 2009-10-12 15:59 156672 ----a-w- c:\windows\system32\RtlCPAPI.dll
2009-10-12 15:27 . 2009-10-12 15:59 2749440 ----a-w- c:\windows\ALCWZRD.EXE
2009-10-12 15:27 . 2005-01-03 12:03 57344 ----a-w- c:\windows\ALCMTR.EXE
2009-10-12 15:26 . 2009-10-12 15:59 40960 ------w- c:\windows\system32\ChCfg.exe
2009-09-11 15:19 . 2008-04-14 06:51 136192 ----a-w- c:\windows\system32\msv1_0.dll
2005-09-14 11:58 . 2005-09-09 13:08 20480 ----a-w- c:\program files\Common Files\UninstallDrv.exe
.

------- Sigcheck -------

[-] 2008-06-12 . C71BB4782833750BF4C02AC30ED670B7 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-15 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-07 344064]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2009-10-12 88363]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SoundMan.exe [2009-10-12 77824]
"AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2009-10-12 2749440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\ACER\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Věýezy obrazovky a spuçtŘnˇ aplikace OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\documents and settings\All Users.WINDOWS\Nabˇdka Start\Programy\Po spuçtŘnˇ\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-4-16 565309]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21.12.2007 8:21 33800]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21.12.2007 8:21 468224]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [12.10.2009 15:28 196480]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [12.10.2009 15:28 6844]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15.11.2009 16:53 133104]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [25.10.2001 14:00 3584]
.
Obsah adresáře 'Naplánované úlohy'

2009-12-04 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-21 22:18]

2009-12-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-15 16:53]

2009-12-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-15 16:53]

2009-12-04 c:\windows\Tasks\User_Feed_Synchronization-{FCD9A0BA-D6F5-4599-B6F3-E9DCFF552E65}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 04:31]

2009-12-04 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-11-15 16:51]
.
.
------- Doplňkový sken -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.codecguide.com/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send To &Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\ACER\Data aplikací\Mozilla\Firefox\Profiles\e0lu7wy8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.centrum.cz
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1698.5652\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-Denik - c:\program files\Tropol\Denik\uninstall.exe
AddRemove-InVerse - c:\documents and settings\ACER\Plocha\InVerse\uninstall.exe
AddRemove-VSO Image Resizer_is1 - c:\documents and settings\ACER\Plocha\Image Resizer\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-04 16:30
Windows 5.1.2600 Service Pack 3 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3612)
c:\windows\system32\webcheck.dll
.
Celkový čas: 2009-12-04 16:31
ComboFix-quarantined-files.txt 2009-12-04 16:31

Před spuštěním: Volných bajtů: 51 682 672 640
Po spuštění: Volných bajtů: 52 604 076 032

- - End Of File - - 47B2BDF5B537851EBA24E26A0DF002C9

[Damned]

Týden starý Combofix je jako trabantem vedle ferrari.
ComboFix za prvé: Nemá v PC uživatele který mu nerozumí co dělat.
Za druhé: Je to soft pro odstranění šmejdů, používat by se měl jen na pokyn někoho, kdo mu rozumí.

Buď připojena k netu, aby si ComboFix mohl stáhnout novou databázi. Konzolu instalovat nemusíš, pokud máš po ruce instalační CD.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok).
Zkopíruj do něj následující celý text označený zeleně:

File::
c:\windows\Tasks\WGASetup.job
c:\windows\system32\KB905474\wgasetup.exe
c:\windows\nsreg.dat
c:\windows\system32\emptyregdb.dat




Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix, oprava může trvat i déle než 10 minut. ! Nech ComboFix dokončit svou práci !
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT a popiš chování počítače. Napiš taky, kde ten vir byl nalezen (jestli to nebylo v cracku NODa).

[Susan Iv]

Nejdříve log z ComboFixu:

ComboFix 09-12-03.06 - ACER 04.12.2009 17:31.2.1 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.510.202 [GMT 0:00]
Spuštěný z: c:\documents and settings\ACER\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\ACER\Plocha\CFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FILE ::
"c:\windows\nsreg.dat"
"c:\windows\system32\emptyregdb.dat"
"c:\windows\system32\KB905474\wgasetup.exe"
"c:\windows\Tasks\WGASetup.job"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\nsreg.dat
c:\windows\system32\emptyregdb.dat
c:\windows\system32\KB905474\wgasetup.exe
c:\windows\Tasks\WGASetup.job

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-11-04 do 2009-12-04 )))))))))))))))))))))))))))))))
.

2009-12-04 15:28 . 2009-12-04 15:28 -------- d-----w- c:\program files\Trend Micro
2009-11-29 15:42 . 2009-11-29 15:42 73728 ----a-w- c:\windows\ALCFDRTM.EXE
2009-11-27 12:12 . 2009-09-10 14:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-27 12:12 . 2009-09-10 14:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-27 12:12 . 2009-11-27 12:12 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-26 18:01 . 2009-11-26 18:01 -------- d-----w- c:\windows\system32\wbem\Repository
2009-11-26 18:01 . 2009-11-26 18:01 -------- d-----w- C:\TOTALCMD
2009-11-26 09:17 . 2009-11-26 09:17 -------- d-sh--w- c:\documents and settings\LocalService.NT AUTHORITY\IETldCache
2009-11-26 09:15 . 2009-11-26 09:15 -------- d-sh--w- c:\documents and settings\ACER\IECompatCache
2009-11-26 09:14 . 2009-11-26 09:14 -------- d-sh--w- c:\documents and settings\ACER\PrivacIE
2009-11-26 09:12 . 2009-11-26 09:12 -------- d-sh--w- c:\documents and settings\ACER\IETldCache
2009-11-26 09:10 . 2009-10-02 04:44 92160 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-11-26 09:10 . 2009-11-26 09:10 -------- d-----w- c:\windows\ie8updates
2009-11-26 09:09 . 2009-08-29 07:59 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-11-26 09:09 . 2009-08-29 07:58 1985536 ------w- c:\windows\system32\dllcache\iertutil.dll
2009-11-26 09:09 . 2009-08-29 07:58 594432 ------w- c:\windows\system32\dllcache\msfeeds.dll
2009-11-26 09:09 . 2009-08-29 07:58 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-11-26 09:09 . 2009-08-29 07:58 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-11-26 09:09 . 2009-08-29 07:58 11069440 ------w- c:\windows\system32\dllcache\ieframe.dll
2009-11-26 09:08 . 2009-11-26 09:08 -------- d--h--w- c:\windows\ie8
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\UC.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\RAR.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\PKZIP.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\PKUNZIP.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\NOCLOSE.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\LHA.PIF
2009-11-22 15:04 . 2009-09-24 07:50 545 ----a-w- c:\windows\ARJ.PIF
2009-11-22 14:58 . 2009-11-22 14:58 -------- d-----w- c:\program files\Paint.NET
2009-11-22 14:53 . 1999-03-23 09:12 299520 ----a-w- c:\windows\uninst.exe
2009-11-22 14:53 . 2009-11-22 14:53 -------- d-----w- c:\documents and settings\ACER\WINDOWS
2009-11-22 14:36 . 2009-11-22 14:36 346624 ------w- c:\windows\system32\gds32.dll
2009-11-22 14:32 . 2009-11-22 14:32 -------- d-----w- c:\documents and settings\ACER\.netbeans
2009-11-22 14:24 . 2009-11-22 14:24 -------- d-----w- c:\documents and settings\ACER\Data aplikacˇ
2009-11-22 14:24 . 2009-11-22 14:24 -------- d-----w- c:\program files\Kiyut
2009-11-19 16:04 . 2009-11-19 16:04 -------- d-----w- c:\program files\Scoperius
2009-11-15 17:42 . 2007-03-05 07:32 201216 ----a-w- c:\windows\system32\mediarcpt.dll
2009-11-15 17:41 . 2009-11-15 17:42 -------- d-----w- c:\program files\Recepty doma
2009-11-15 17:38 . 2009-11-15 17:38 -------- d-----w- c:\program files\Polar
2009-11-15 16:48 . 2009-11-15 16:48 -------- d-----w- c:\program files\Google
2009-11-15 16:01 . 2009-11-15 16:01 -------- d-----w- c:\program files\PVD15
2009-11-15 13:12 . 2009-11-15 13:12 -------- d-----w- c:\program files\TheSage
2009-11-15 13:09 . 2009-11-15 13:09 -------- d-----w- c:\program files\Vitware
2009-11-14 14:40 . 2009-11-14 14:40 -------- d-----w- c:\program files\Zbraně a Střelivo 2007
2009-11-14 14:38 . 2009-11-14 14:38 -------- d-----w- c:\program files\TypingMaster
2009-11-14 13:58 . 2009-11-14 14:58 2 ----a-w- c:\windows\system\WINX323.DLL
2009-11-14 13:57 . 2000-05-24 22:19 61440 ----a-w- c:\windows\system32\GkSui18.EXE
2009-11-14 13:57 . 1994-05-01 22:00 398416 ----a-w- c:\windows\system32\VBRUN300.DLL
2009-11-13 18:08 . 2009-11-13 18:08 -------- d-----w- c:\windows\speech
2009-11-13 18:08 . 2009-11-13 18:08 -------- d-----w- c:\program files\Keepinhead
2009-11-13 17:59 . 2009-11-13 17:59 -------- d-----w- c:\program files\EasyLanguage
2009-11-13 17:46 . 2009-11-13 17:46 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-11-13 17:46 . 2009-11-13 17:46 282624 ----a-r- c:\windows\Setup1.exe
2009-11-13 17:46 . 2009-11-13 17:46 102400 ----a-w- c:\windows\system32\VB6STKIT.DLL
2009-11-11 13:48 . 2009-11-11 13:48 -------- d-----w- c:\program files\Flow Hospitality

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-04 13:43 . 2009-10-12 16:09 12 ----a-w- c:\windows\bthservsdp.dat
2009-11-21 12:54 . 2001-10-25 14:00 79440 ----a-w- c:\windows\system32\perfc005.dat
2009-11-21 12:54 . 2001-10-25 14:00 432516 ----a-w- c:\windows\system32\perfh005.dat
2009-11-19 12:26 . 2009-11-19 12:26 -------- d-----w- c:\program files\Reference Assemblies
2009-10-31 13:25 . 2009-10-31 13:25 -------- d-----w- c:\program files\DsNET Corp
2009-10-31 08:18 . 2009-10-31 08:18 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-28 07:07 . 2009-10-12 15:34 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-10-28 07:07 . 2009-10-12 15:34 2426 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2009-10-28 07:05 . 2009-10-12 15:34 8972 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2009-10-12 17:14 . 2009-10-12 17:14 -------- d-----w- c:\program files\Microsoft Works
2009-10-12 17:14 . 2009-10-12 17:14 -------- d-----w- c:\program files\MSBuild
2009-10-12 16:55 . 2009-10-12 16:55 -------- d-----w- c:\program files\Nero
2009-10-12 16:37 . 2009-10-12 16:37 -------- d-----w- c:\program files\Foxit Software
2009-10-12 16:37 . 2009-10-12 16:37 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-10-12 16:35 . 2009-10-12 16:35 -------- d-----w- c:\program files\ESET
2009-10-12 16:01 . 2009-10-12 16:01 -------- d-----w- c:\program files\WIDCOMM
2009-10-12 15:31 . 2009-10-12 15:32 458752 ----a-w- c:\windows\system32\w29NCPA.dll
2009-10-12 15:31 . 2009-10-12 15:32 3222784 ----a-w- c:\windows\system32\drivers\w29n51.sys
2009-10-12 15:31 . 2009-10-12 16:09 1654784 ----a-w- c:\windows\system32\W29MLRES.dll
2009-10-12 15:31 . 2009-10-12 16:09 13 ----a-w- c:\windows\system32\drivers\verfile.tic
2009-10-12 15:28 . 2009-10-12 15:28 8655 ----a-w- c:\windows\system32\drivers\o2mwxp.cat
2009-10-12 15:28 . 2009-10-12 15:28 8263 ----a-w- c:\windows\system32\drivers\o2mmb.cat
2009-10-12 15:28 . 2009-10-12 15:28 6844 ----a-w- c:\windows\system32\drivers\MbxStby.sys
2009-10-12 15:28 . 2009-10-12 15:28 49152 ----a-w- c:\windows\system32\mbxfinst.exe
2009-10-12 15:28 . 2009-10-12 15:28 45056 ----a-w- c:\windows\system32\RMDevice.dll
2009-10-12 15:28 . 2009-10-12 15:28 4286 ----a-w- c:\windows\system32\drivers\O2MWXP.INF
2009-10-12 15:28 . 2009-10-12 15:28 196480 ----a-w- c:\windows\system32\drivers\o2mmb.sys
2009-10-12 15:28 . 2009-10-12 15:28 1760 ----a-w- c:\windows\system32\drivers\O2mmb.inf
2009-10-12 15:27 . 2009-10-12 15:59 77824 ----a-w- c:\windows\SoundMan.exe
2009-10-12 15:27 . 2009-10-12 15:59 9767936 ----a-w- c:\windows\RTLCPL.EXE
2009-10-12 15:27 . 2009-10-12 15:59 8376832 ------w- c:\windows\RTHDCPL.exe
2009-10-12 15:27 . 2009-10-12 15:59 2329408 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2009-10-12 15:27 . 2009-10-12 15:59 156672 ----a-w- c:\windows\system32\RtlCPAPI.dll
2009-10-12 15:27 . 2009-10-12 15:59 2749440 ----a-w- c:\windows\ALCWZRD.EXE
2009-10-12 15:27 . 2005-01-03 12:03 57344 ----a-w- c:\windows\ALCMTR.EXE
2009-10-12 15:26 . 2009-10-12 15:59 40960 ------w- c:\windows\system32\ChCfg.exe
2009-09-11 15:19 . 2008-04-14 06:51 136192 ----a-w- c:\windows\system32\msv1_0.dll
2005-09-14 11:58 . 2005-09-09 13:08 20480 ----a-w- c:\program files\Common Files\UninstallDrv.exe
.

------- Sigcheck -------

[-] 2008-06-12 . C71BB4782833750BF4C02AC30ED670B7 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-15 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-07 344064]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2009-10-12 88363]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SoundMan.exe [2009-10-12 77824]
"AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2009-10-12 2749440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\ACER\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Věýezy obrazovky a spuçtŘnˇ aplikace OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\documents and settings\All Users.WINDOWS\Nabˇdka Start\Programy\Po spuçtŘnˇ\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-4-16 565309]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21.12.2007 8:21 33800]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21.12.2007 8:21 468224]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [12.10.2009 15:28 196480]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [12.10.2009 15:28 6844]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15.11.2009 16:53 133104]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [25.10.2001 14:00 3584]
.
Obsah adresáře 'Naplánované úlohy'

2009-12-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-15 16:53]

2009-12-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-15 16:53]

2009-12-04 c:\windows\Tasks\User_Feed_Synchronization-{FCD9A0BA-D6F5-4599-B6F3-E9DCFF552E65}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 04:31]

2009-12-04 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-11-15 16:51]
.
.
------- Doplňkový sken -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.codecguide.com/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send To &Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\ACER\Data aplikací\Mozilla\Firefox\Profiles\e0lu7wy8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.centrum.cz
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1698.5652\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-04 17:36
Windows 5.1.2600 Service Pack 3 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2009-12-04 17:38
ComboFix-quarantined-files.txt 2009-12-04 17:38
ComboFix2.txt 2009-12-04 16:31

Před spuštěním: Volných bajtů: 52 593 983 488
Po spuštění: Volných bajtů: 52 582 776 832

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 747FC4F32AF66705CF5584D3B1939BEF

[Susan Iv]

Log z HjT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:28, on 4.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.codecguide.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Služba Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Unknown owner - C:\Program Files\InterBase\bin\ibguard.exe (file missing)
O23 - Service: InterBase Server (InterBaseServer) - Unknown owner - C:\Program Files\InterBase\bin\ibserver.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 6283 bytes

[Susan Iv]

PC se chová normálně (zatím jsem ho ještě nerestartovala), neobvyklé je pouze to, že otevřel Explorer místo Mozilly, kterou používám.
Posílám protokol z NODu:

26.11.2009 13:20:20 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3HISTSW.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o spuštění souboru aplikací: C:\WINDOWS\Explorer.EXE.
26.11.2009 13:20:20 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3POPSWT.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o spuštění souboru aplikací: C:\WINDOWS\Explorer.EXE.
26.11.2009 13:20:20 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o spuštění souboru aplikací: C:\WINDOWS\Explorer.EXE.
26.11.2009 13:20:19 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o spuštění souboru aplikací: C:\WINDOWS\Explorer.EXE.
26.11.2009 13:20:19 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3REPROX.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o spuštění souboru aplikací: C:\WINDOWS\Explorer.EXE.
26.11.2009 13:20:19 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3SCHMON.EXE Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\WINDOWS\Explorer.EXE.
24.11.2009 17:25:15 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3SCHMON.EXE Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\DOCUME~1\ACER\LOCALS~1\Temp\MWSSETUP.EXE.
24.11.2009 17:25:14 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3REPROX.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\DOCUME~1\ACER\LOCALS~1\Temp\MWSSETUP.EXE.
24.11.2009 17:25:13 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3POPSWT.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\DOCUME~1\ACER\LOCALS~1\Temp\MWSSETUP.EXE.
24.11.2009 17:25:12 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\DOCUME~1\ACER\LOCALS~1\Temp\MWSSETUP.EXE.
24.11.2009 17:25:11 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3HISTSW.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\DOCUME~1\ACER\LOCALS~1\Temp\MWSSETUP.EXE.
24.11.2009 17:25:09 Rezidentní ochrana soubor C:\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL Win32/Adware.FunWeb aplikace vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\DOCUME~1\ACER\LOCALS~1\Temp\MWSSETUP.EXE.

[Damned]

Všechno co je v karanténě NODu smaž.

Ten server (InterBase) máš nainstalovaný? Protože tam vidím dvě chybějící složky a nic víc k tomu.

[Susan Iv]

Karanténa NODu smazána...
Ten ten soubor InterBAse... vůbec nevím o co jde ...

[Damned]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

sc config InterBase Guardian (InterBaseGuardian) start= disabled
sc config InterBase Guardian start= disabled
sc config InterBaseGuardian start= disabled
sc config Ibguard start= disabled
sc config InterBase Server (InterBaseServer) start= disabled
sc config InterBase Server start= disabled
sc config InterBaseServer start= disabled
sc config Ibserver start= disabled
sc stop InterBase Guardian (InterBaseGuardian)
sc stop InterBase Guardian
sc stop InterBaseGuardian
sc stop Ibguard
sc stop InterBase Server (InterBaseServer)
sc stop InterBase Server
sc stop InterBaseServer
sc stop Ibserver
sc delete InterBase Guardian (InterBaseGuardian)
sc delete InterBase Guardian
sc delete InterBaseGuardian
sc delete Ibguard
sc delete InterBase Server (InterBaseServer)
sc delete InterBase Server
sc delete InterBaseServer
sc delete Ibserver

ulož si ho na plochu jako-název remove.bat a ulož ho jako typ všechny soubory , najdi na ploše tento soubor , spusť ho poklepáním.

Otevře se Dosovské okno a zavře. Restartuj comp a vlož mi sem nový log z HJT.