napadeni pocitace virem

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
c:\windows\system32\perfh005.dat
c:\windows\system32\perfc005.dat
c:\users\David\AppData\Local\Temp\LCK6FB4.tmp
c:\windows\system32\DRIVERS\ehdrv.sys 
c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe 
c:\windows\system32\DRIVERS\epfwwfpr.sys

Folder::
c:\users\David\AppData\Local\ESET
c:\users\Davidek\AppData\Local\ESET
c:\users\Davidek\AppData\Local\ESET
c:\program files\Ask.com

DirLook::
c:\programdata\SMNGRS
c:\programdata\642fa8

Driver::
GarenaPEngine
WPRO_40_1340
ehdrv
ekrn
epfwwfpr

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"=- 
[-HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\GarenaPEngine]

DDS::
uStart Page = hxxp://eu.ask.com?o=15161&l=dis
uInternet Settings,ProxyServer = http=127.0.0.1:25392

RegNull::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Znáš tyto programy:
c:\programdata\SMNGRS
c:\programdata\642fa8 ??

Tento soubor znáš:
c:\users\David\AppData\Roaming\OpenCandy\OpenCandy_7AC158BD3B894D3391C5A229613C164C\DLMgr_3_1.6.87.exe

[dadousek]

Kdyz jsem to prekryl v combofixu,tak mi AVG antivirus nasel malware,tak jsem ho presunul do trezoru acombofix mi restartoval pocitac.Mam to udelat znovu?

[dadousek]

Ty soubory co jsi mi napsal znam.

[dadousek]

Pri tom scenu mi AVG 2x nasel malware typ viru-neni k dispozici a cesta je C:\COMBOFIX\REGT.CFXXE.Co s tim mam delat.Vzdycky se mi ten combofix restrtovala tudiz se mi nevytvoril ten log.

[dadousek]

Ani ten Hijack mi nejde zkopirovat do toho bloku,mackam CTRL+A pak CTRL+C a vlozit a nic.Tak Jak ho sem zkopiruju?A co ten Combofix.

[jaro3]

Zkopíruj myší .

Před scriptem Combofixu je zase třeba vypnout rez. ochrany antiviru+antispywaru+ vypnout firewall.
Udělej script znovu.

Takže ty dva programy znáš? A ten soubor .exe taky?

[dadousek]

ComboFix 10-10-09.06 - David 10.10.2010 20:09:38.6.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1250.420.1029.18.2046.1201 [GMT 2:00]
Spuštěný z: c:\users\Davidek\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Davidek\Desktop\CFScript.txt

FILE ::
"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe"
"c:\users\David\AppData\Local\Temp\LCK6FB4.tmp"
"c:\windows\system32\DRIVERS\ehdrv.sys"
"c:\windows\system32\DRIVERS\epfwwfpr.sys"
"c:\windows\system32\perfc005.dat"
"c:\windows\system32\perfh005.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EHDRV
-------\Legacy_EPFWWFPR
-------\Legacy_GARENAPENGINE
-------\Legacy_WPRO_40_1340
-------\Service_WPRO_40_1340
-------\Legacy_EHDRV
-------\Legacy_EPFWWFPR
-------\Legacy_GARENAPENGINE
-------\Legacy_WPRO_40_1340
-------\Legacy_EHDRV
-------\Legacy_EPFWWFPR
-------\Legacy_GARENAPENGINE
-------\Legacy_WPRO_40_1340
-------\Legacy_EHDRV
-------\Legacy_EPFWWFPR
-------\Legacy_GARENAPENGINE
-------\Legacy_WPRO_40_1340


((((((((((((((((((((((((( Soubory vytvořené od 2010-09-10 do 2010-10-10 )))))))))))))))))))))))))))))))
.

2010-10-10 18:18 . 2010-10-10 18:18 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-10 18:18 . 2010-10-10 18:18 -------- d-----w- c:\users\David\AppData\Local\temp
2010-10-10 13:55 . 2010-10-10 13:55 -------- d-----w- C:\Device
2010-10-10 12:20 . 2010-10-10 12:20 -------- d-----w- C:\$AVG
2010-10-10 12:08 . 2010-10-10 12:08 -------- d-----w- c:\program files\Microsoft Games
2010-10-10 12:08 . 2010-10-10 12:08 -------- d-----w- C:\inetpub
2010-10-10 11:52 . 2010-10-10 11:52 -------- d-----w- c:\program files\Common Files\Adobe
2010-10-10 11:46 . 2010-10-10 11:46 -------- d-----w- c:\users\David\AppData\Roaming\AVG10
2010-10-10 11:45 . 2010-10-10 11:45 -------- d--h--w- c:\programdata\Common Files
2010-10-10 11:45 . 2010-10-10 11:45 -------- d-----w- c:\programdata\AVG Security Toolbar
2010-10-10 11:43 . 2010-10-10 11:54 -------- d-----w- c:\windows\system32\drivers\AVG
2010-10-10 11:43 . 2010-10-10 11:45 -------- d-----w- c:\programdata\AVG10
2010-10-10 11:43 . 2010-10-10 11:43 -------- d-----w- c:\program files\AVG
2010-10-09 10:44 . 2010-10-09 10:44 -------- d-----w- c:\users\Nová složka\AppData
2010-10-08 16:17 . 2010-10-08 16:17 -------- d-----w- c:\users\Guest
2010-10-08 14:29 . 2010-10-08 14:29 -------- d-----w- c:\users\David\AppData\Roaming\Malwarebytes
2010-10-08 14:29 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-08 14:29 . 2010-10-08 14:29 -------- d-----w- c:\programdata\Malwarebytes
2010-10-08 14:29 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-08 14:29 . 2010-10-08 14:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-08 13:56 . 2010-10-08 13:56 -------- d-----w- C:\rsit
2010-10-08 06:25 . 2010-09-09 22:52 6084944 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{20630C80-CF0A-4EEE-AAE6-715DB3D56DD8}\mpengine.dll
2010-10-07 16:20 . 2010-10-07 16:20 -------- d-----w- c:\program files\Trend Micro
2010-10-05 19:08 . 2010-10-10 11:43 -------- d-----w- c:\programdata\MFAData
2010-10-05 08:19 . 2009-08-17 16:10 1279456 ----a-w- c:\windows\system32\asw893C.tmp
2010-10-05 07:29 . 2010-10-10 10:56 -------- d-----w- c:\programdata\Alwil Software
2010-10-05 07:21 . 2010-10-09 09:31 -------- d-----w- c:\users\Davidek
2010-10-04 06:56 . 2010-10-06 08:10 -------- d-----w- c:\users\David\AppData\Local\Diagnostics
2010-10-04 06:39 . 2010-10-05 07:17 -------- d-sh--w- c:\programdata\SMNGRS
2010-10-04 06:39 . 2010-10-05 10:11 -------- d-sh--w- c:\programdata\642fa8
2010-09-29 05:38 . 2010-03-04 04:04 146304 ----a-w- c:\windows\system32\drivers\usbvideo.sys
2010-09-29 05:38 . 2010-03-04 03:57 190976 ----a-w- c:\windows\system32\drivers\ks.sys
2010-09-29 02:33 . 2010-06-19 06:15 2048 ----a-w- c:\windows\system32\tzres.dll
2010-09-29 02:33 . 2010-08-27 05:30 13312 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2010-09-27 07:26 . 2010-09-27 07:26 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-09-27 07:26 . 2010-09-27 07:26 -------- d-----w- c:\program files\Microsoft
2010-09-27 07:25 . 2010-09-27 07:25 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2010-09-27 06:59 . 2010-09-29 05:38 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-27 06:58 . 2009-10-10 02:57 12800 ----a-w- c:\windows\system32\drivers\sffp_sd.sys
2010-09-27 06:58 . 2009-10-10 02:31 84992 ----a-w- c:\windows\system32\drivers\sdbus.sys
2010-09-27 06:58 . 2010-09-27 06:58 -------- d-----w- c:\program files\CONEXANT
2010-09-26 07:49 . 2010-10-04 19:43 -------- d-----w- c:\users\David\AppData\Local\Deployment
2010-09-23 09:13 . 2010-09-23 09:13 -------- d-----w- c:\users\David\AppData\Roaming\Nokia Ovi Suite
2010-09-22 19:41 . 2010-09-22 19:41 -------- d-----w- c:\users\David\AppData\Roaming\AnvSoft
2010-09-22 19:41 . 2010-09-22 19:41 -------- d-----w- c:\program files\AnvSoft
2010-09-22 17:29 . 2010-09-22 17:32 -------- d-----w- c:\users\David\AppData\Local\Video Converter
2010-09-22 17:28 . 2010-09-22 17:28 -------- d-----w- c:\programdata\VideoConverter
2010-09-22 16:21 . 2010-09-22 16:21 -------- d-----w- c:\program files\Ultra Video Joiner
2010-09-22 14:44 . 2010-09-22 14:44 -------- d-----w- c:\program files\FreeTime
2010-09-22 14:41 . 2010-09-22 14:41 -------- d-----w- c:\users\David\AppData\Local\Broad Intelligence
2010-09-22 09:54 . 2010-09-22 09:54 -------- d--h--w- c:\windows\PIF
2010-09-21 08:06 . 2010-09-22 10:01 -------- d-----w- c:\program files\Windows Update
2010-09-20 14:06 . 2010-09-20 14:13 -------- d-----w- c:\program files\ReviverSoft
2010-09-20 14:05 . 2010-09-20 14:05 -------- d-----w- c:\programdata\ReviverSoft
2010-09-20 14:04 . 2010-09-20 14:06 -------- d-----w- c:\users\David\AppData\Local\OpenCandy
2010-09-20 14:03 . 2010-09-22 14:19 -------- d-----w- c:\users\David\AppData\Roaming\Broad Intelligence
2010-09-20 06:08 . 2010-09-20 06:29 -------- d-----w- c:\program files\uTorrent
2010-09-19 18:33 . 2010-10-06 07:10 -------- d-----w- c:\users\David\AppData\Roaming\Azureus
2010-09-18 06:52 . 2010-10-10 13:49 -------- d-----w- c:\users\David\AppData\Roaming\uTorrent
2010-09-18 05:48 . 2008-08-26 08:26 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2010-09-18 05:48 . 2010-09-18 05:48 -------- d-----w- c:\program files\PC Connectivity Solution
2010-09-18 05:46 . 2010-09-18 05:46 -------- d-----w- c:\programdata\NokiaInstallerCache
2010-09-17 19:00 . 2010-09-23 09:14 -------- d-----w- c:\users\David\AppData\Local\Nokia
2010-09-17 19:00 . 2010-09-22 04:54 -------- d-----w- c:\programdata\PC Suite
2010-09-17 19:00 . 2010-09-17 19:03 -------- d-----w- c:\users\David\AppData\Roaming\PC Suite
2010-09-17 19:00 . 2010-10-10 11:28 -------- d-----w- c:\users\David\AppData\Roaming\Nokia
2010-09-17 18:57 . 2010-09-17 18:57 -------- d-----w- c:\program files\DIFX
2010-09-17 18:57 . 2010-09-18 05:48 -------- dc----w- c:\windows\system32\DRVSTORE
2010-09-17 18:56 . 2010-09-18 05:47 -------- d-----w- c:\program files\Nokia
2010-09-17 18:56 . 2010-09-17 18:56 -------- d-----w- c:\programdata\OviInstallerCache
2010-09-15 02:44 . 2010-08-21 05:32 316928 ----a-w- c:\windows\system32\spoolsv.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\programdata\642fa8 ----

2010-10-04 06:39 . 2010-10-04 06:39 68 ----a-w- c:\programdata\642fa8\patxjmxpjexmet.ini
2010-10-04 06:39 . 2010-10-04 06:39 4286 ----a-w- c:\programdata\642fa8\mcp.ico
2010-10-04 06:39 . 2010-10-04 06:39 288 ----a-w- c:\programdata\642fa8\800652.reg
2010-10-04 06:39 . 2010-10-04 06:39 4286 ----a-w- c:\programdata\642fa8\SMS.ico

---- Directory of c:\programdata\SMNGRS ----

2010-10-04 06:39 . 2010-10-04 06:43 21038 --sha-w- c:\programdata\SMNGRS\SMSWFBYZXYS.cfg


(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-08-27 13:25 2565448 ----a-w- c:\program files\AVG\AVG10\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG10\Toolbar\IEToolbar.dll" [2010-08-27 2565448]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2009-11-16 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"PLFSetL"="c:\windows\PLFSetL.exe" [2007-07-05 94208]
"AVG_TRAY"="c:\program files\AVG\AVG10\avgtray.exe" [2010-09-15 2745696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 2 (0x2)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG10\avgchsvx.exe /sync\0c:\progra~1\AVG\AVG10\avgrsx.exe /sync /restart

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 AllShare;SAMSUNG AllShare Service;c:\program files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [2010-04-23 9241088]
R3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG10\Toolbar\ToolbarBroker.exe [2010-08-27 488776]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-04-29 38224]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-25 1343400]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-11-26 691696]
S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [2010-09-13 25680]
S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [2010-09-07 26064]
S1 Avgfwfd;AVG network filter service;c:\windows\system32\DRIVERS\avgfwd6x.sys [2010-07-12 54112]
S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [2010-09-07 249424]
S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [2010-09-07 298448]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 avgfws;AVG Firewall;c:\program files\AVG\AVG10\avgfws.exe [2010-09-09 3210176]
S2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe [2010-09-03 6104144]
S2 avgwd;AVG WatchDog;c:\program files\AVG\AVG10\avgwdsvc.exe [2010-09-09 265400]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [2010-08-19 123472]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [2010-08-19 30288]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys [2010-08-19 21072]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series – ovladač adaptéru pro 32bitový systém Windows Vista;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
iissvcs REG_MULTI_SZ w3svc was
apphost REG_MULTI_SZ apphostsvc
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program files\AVG\AVG10\Toolbar\IEToolbar.dll
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-163937605-4191390367-3994013808-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:de,ac,79,38,6b,79,a2,73,68,53,3e,3a,54,10,12,21,11,00,95,cc,a8,18,2e,
1f,56,1e,8d,4a,ad,41,c4,bc,62,a8,a8,1a,07,3b,02,4f,27,ac,b3,b7,6f,36,8a,b2,\
"??"=hex:a8,1c,b6,38,2c,97,76,a6,1a,67,78,8c,e9,b9,85,9d

[HKEY_USERS\S-1-5-21-163937605-4191390367-3994013808-1001\Software\SecuROM\License information*]
"datasecu"=hex:8d,6c,8d,31,c7,67,4b,25,da,73,61,f1,a9,75,bb,2e,ba,9c,f4,69,5e,
70,6a,65,9c,a2,d3,c2,22,d8,ea,59,69,6f,04,ea,43,3b,6e,77,1c,8d,35,61,85,4a,\
"rkeysecu"=hex:0e,6d,fb,82,c6,22,85,20,77,b0,39,2f,0c,e8,f1,2f
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\progra~1\AVG\AVG10\avgchsvx.exe
c:\progra~1\AVG\AVG10\avgrsx.exe
c:\windows\system32\atieclxx.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\AVG\AVG10\avgnsx.exe
c:\program files\AVG\AVG10\avgemcx.exe
c:\windows\system32\conhost.exe
c:\program files\AVG\AVG10\avgcsrvx.exe
c:\windows\system32\taskhost.exe
c:\program files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
c:\windows\system32\conhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Celkový čas: 2010-10-10 20:23:50 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-10-10 18:23
ComboFix2.txt 2010-10-10 11:10
ComboFix3.txt 2010-10-09 10:44

Před spuštěním: Volných bajtů: 103 185 059 840
Po spuštění: Volných bajtů: 102 927 192 064

- - End Of File - - D756F45C40E7EBDCF48B611FAB175F69

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorUser"=dword:00000001
"EnableUIADesktopToggle"=dword:00000001

[-HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

Klikni na soubor a vyber: uložit jako, v okně vyber:
Název souboru: fixme.reg
Typ souboru : všechny soubory
Kam: na svojí plochu
Klikni na uložit .Poklepej na ploše na soubor fixme.reg. Win se zeptá , zdali chceš přidat do registru, klikni na Ano.
Restart PC.

Tyto složky se mi nelíbí:
c:\programdata\SMNGRS
c:\programdata\642fa8

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\programdata\642fa8\patxjmxpjexmet.ini
c:\programdata\642fa8\mcp.ico
c:\programdata\642fa8\800652.reg
c:\programdata\642fa8\SMS.ico
c:\programdata\SMNGRS\SMSWFBYZXYS.cfg

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/40 , nebo 1/40. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

[dadousek]

Po scenu combo fixu jsem chtel otevrit operu aneslo mi to.Hodilo mi to tuhle hlasku:C:\Program Files\Opera\opera.exe.Pokus pouzit neplatnou operaci na klic registru,ktery je oznacen pro odstraneni.Musel jsem si prepnout uzivatele,abych sem mohl dat vubec ten log.Jakto, ze mi na jednom uzivateli funguje pristup na net a druhym ne?Ten Hijack,jde zkopirovat jeste jinak,me to podle toho navodu nejde.Ty soubory o kterych jsi psal jsem videl v nakaze po scenu ESETU.

[jaro3]

Zkus vždy párkrát restartovat PC , mělo by se to spravit..

Tak je tam vlož jen myší ( cestu) na VirusTotal).

HJT , jak vyjede log , zkopíruj celý obsah myší a vlož ho sem. Jinak nevím...

[dadousek]

Ted nevim v jaky slozce si mam dat ty moznosti zoobrazovani.

[dadousek]

Tak to je ten prvni pres virus total ( c:\programdata\642fa8\patxjmxpjexmet.ini)
http://www.virustotal.com/file-scan/rep ... 1286737798