Registry

[lelekdk]

Mám takový malý problém, který se mi stále nedaří vyřešit. Pro začátek přikládám obrázek:
Jde o to že když stahuji třeba film a ptá se mě to: uložit jako typ:, tak tam mám permanentně nastaveno : soubor HOUSE (.HOUSE) a pokaždé to musím přenastavovat všechny soubory (.) a za název filmu psát .avi Celkem otravný když chcete takový seriál (ale to už je jedno).
Zkoušel jsem program CCleaner, kde je možnost v sekci registry odstranit nepoužívané koncovky souborů (podotýkám že pokaždé mi to zahlásí úspěšné smazání koncovky .HOUSE) ale jakmile zas začnu stahovat další film koncovka se zase obnový. Zkoušel jsem hned po smazání koncovky restart a nic. Prostě nechce pryč z mího počítače .

díky za pomoc.

[jan.svoboda]

Ahoj, spusť Regedit (Start - spustit - regedit) a běž do HKEY_CLASSES_ROOT, zde se pokus najít klíč .House a celý jeje smazat. Ještě vlož log z RSIT (= HijackThis), zda se nejedná o nějakého šmejda, který to způsobuje nebo v něm nenajdeme jiný způsobující program/věc. Návod: http://www.viry.cz/forum/viewtopic.php?f=13&t=82743

[lelekdk]

z registrů by to už mělo být smazaný (v editoru registrů už není .HOUSE a CCleaner už taky nenajde .HOUSE) Jinak problém dále přetrvává pokud se snažm stahnou nějaký film. Přikládám ten log

Logfile of random's system information tool 1.06 (written by random/random)
Run by Zbiňďa at 2009-12-28 12:12:51
Systém Microsoft Windows XP Professional Service Pack 1
System drive C: has 53 GB (69%) free of 76 GB
Total RAM: 1023 MB (58% free)


======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2005-09-24 63136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467} - &Rádio - C:\WINDOWS\System32\msdxm.ocx [2002-09-20 844828]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2005-07-20 7110656]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\System32\NvMcTray.dll [2005-07-20 86016]
"WinFoxV2"=C:\WINDOWS\System32\WF2K.EXE [2005-08-26 1310720]
"WinFast2KLoadDefault"=wf2kcpl.dll,DllLoadDefaultSettings []
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-08-17 81000]
"watchdog"=C:\Program Files\WatchDog\WatchDog.exe [2004-09-13 732672]
"RemoteControl"=C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [2004-11-02 32768]
"EPSON Stylus Photo RX420 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE [2004-04-09 98304]
"PCSuiteTrayApplication"=C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE [2006-06-15 229376]
"DAEMON Tools-1033"=C:\Program Files\D-Tools\daemon.exe [2004-08-22 81920]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe [2002-09-20 13312]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2002-08-20 1511453]
"PcSync"=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe [2006-06-27 1449984]
"ICQ"=C:\Program Files\ICQ6\ICQ.exe silent []

C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE

C:\Documents and Settings\Zbiňďa\Nabídka Start\Programy\Po spuštění
Automatické vypnutí počítače.lnk - F:\Program Files\Automatické vypnutí počítače\avp.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrkp32]
winrkp32.dll []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-12-28 11:50:00 ----D---- C:\Program Files\trend micro
2009-12-28 11:49:59 ----D---- C:\rsit
2009-12-22 15:36:53 ----D---- C:\Documents and Settings\Zbiňďa\Data aplikací\EPSON
2009-12-19 17:44:55 ----D---- C:\Documents and Settings\Zbiňďa\Data aplikací\vlc
2009-11-29 14:06:16 ----D---- C:\Fraps
2009-11-29 00:52:41 ----D---- C:\Program Files\Recuva

======List of files/folders modified in the last 1 months======

2009-12-28 12:05:38 ----D---- C:\WINDOWS\Prefetch
2009-12-28 11:50:00 ----RD---- C:\Program Files
2009-12-28 11:42:49 ----A---- C:\WINDOWS\avp.ini
2009-12-28 11:42:34 ----D---- C:\WINDOWS\Temp
2009-12-28 11:42:13 ----D---- C:\WINDOWS\Debug
2009-12-27 23:38:01 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-12-25 22:59:23 ----D---- C:\Documents and Settings\Zbiňďa\Data aplikací\dvdcss
2009-12-22 23:14:05 ----D---- C:\Program Files\Mozilla Firefox
2009-12-20 13:06:48 ----SHD---- C:\WINDOWS\Installer
2009-12-20 13:06:41 ----D---- C:\Program Files\Opera
2009-12-19 17:43:31 ----D---- C:\Program Files\VideoLAN
2009-12-06 09:15:41 ----D---- C:\WINDOWS\system32
2009-12-05 20:45:56 ----D---- C:\WINDOWS\System32\CatRoot2
2009-12-05 20:42:06 ----SD---- C:\Documents and Settings\Zbiňďa\Data aplikací\Microsoft
2009-12-05 20:42:03 ----D---- C:\WINDOWS
2009-12-05 20:41:44 ----D---- C:\WINDOWS\WinSxS
2009-12-05 20:41:17 ----D---- C:\WINDOWS\System32\drivers
2009-12-05 20:26:29 ----D---- C:\Documents and Settings\Zbiňďa\Data aplikací\Adobe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\System32\drivers\Aavmker4.sys [2009-08-17 26944]
R1 AmdK8;Ovladač procesoru AMD; C:\WINDOWS\System32\DRIVERS\AmdK8.sys [2005-03-09 42496]
R1 aswSP;avast! Self Protection; C:\WINDOWS\System32\drivers\aswSP.sys [2009-08-17 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\System32\drivers\aswTdi.sys [2009-08-17 51376]
R1 BIOS;BIOS; \??\C:\WINDOWS\System32\drivers\BIOS.sys []
R1 kbdhid;Ovladač klávesnice standardu HID; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2001-10-24 13952]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\System32\drivers\aswMon2.sys [2009-08-17 94160]
R2 atksgt;atksgt; C:\WINDOWS\System32\DRIVERS\atksgt.sys [2009-08-03 271360]
R2 lirsgt;lirsgt; C:\WINDOWS\System32\DRIVERS\lirsgt.sys [2009-08-03 18048]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2006-05-19 3965056]
R3 aswRdr;aswRdr; C:\WINDOWS\System32\drivers\aswRdr.sys [2009-08-17 23152]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\System32\DRIVERS\hamachi.sys [2008-05-31 25280]
R3 HidUsb;Ovladač třídy standardu HID; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Ovladač myši standardu HID; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-10-24 12160]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2005-07-20 3198368]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [2006-06-01 34944]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [2006-06-01 13184]
R3 usbccgp;Obecný nadřazený ovladač Microsoft USB; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2002-08-29 28160]
R3 usbehci;Ovladač miniportu rozšířeného radiče hostitele Microsoft USB 2.0; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2002-08-29 19328]
R3 usbhub;Rozbočovač umožnující USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2002-08-29 51968]
R3 usbohci;Ovladač Miniport otevřeného hostitelského řadiče Microsoft USB; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2002-08-29 15744]
R3 usbprint;Třída USB Printer; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2002-08-29 24960]
R3 usbscan;Ovladač skeneru USB; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 14208]
R3 usbstor;Ovladač velkokapacitního paměťového zařízení USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 21760]
R4 WINFOXIO;WINFOXIO; \??\C:\WINDOWS\System32\Drivers\WINFOXIO.SYS []
S1 amdtools;AMD Special Tools Driver; C:\WINDOWS\System32\DRIVERS\amdtools.sys []
S2 nvcap;nVidia WDM Video Capture (universal); C:\WINDOWS\System32\DRIVERS\nvcap.sys []
S2 NVXBAR;nVidia WDM A/V Crossbar; C:\WINDOWS\System32\DRIVERS\NVxbar.sys []
S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-07-09 16384]
S3 CrystalSysInfo;CrystalSysInfo; \??\H:\Program Files\MediaCoder\SysInfo.sys []
S3 ENTECH;ENTECH; \??\C:\WINDOWS\System32\DRIVERS\ENTECH.sys []
S3 ms_mpu401;Microsoft MPU-401 MIDI UART Driver; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2002-12-12 5504]
S3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [2004-08-13 5810]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-07-09 83968]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-07-09 10112]
S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2006-05-29 8704]
S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2006-05-29 13312]
S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2006-05-29 127488]
S3 Nokia USB Port;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2006-05-29 13312]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-07-09 10880]
S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-07-09 14976]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-07-09 18688]
S4 IntelIde;IntelIde; C:\WINDOWS\System32\drivers\IntelIde.sys []
S4 WS2IFSL;Podpůrné prostředí zprostředkovatele služeb Windows Socket 2.0 bez podpory IFS; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-10-25 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-08-17 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-08-17 138680]
R2 ICQ Service;ICQ Service; C:\Program Files\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968]
R2 InterBaseGuardian;InterBase Guardian; C:\Program Files\Borland\InterBase\bin\ibguard.exe [2001-11-29 32768]
R2 NVSvc;WinFast(R) Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2005-07-20 127043]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-08-17 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-08-17 352920]
R3 InterBaseServer;InterBase Server; C:\Program Files\Borland\InterBase\bin\ibserver.exe [2001-11-29 1769472]
R3 ServiceLayer;ServiceLayer; C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe [2006-06-05 174080]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]

-----------------EOF-----------------


V každým případě nevím jestli to má být tak dlouhý, ale docela jsem se zhrozil.

Pokud půjde o závěr např: přeinstalovat OS (který mi zatím funguje víc jak 3-4 roky bez jakých koliv problémů-relativně ) tak to nejspíše v dohledné době neudělám, protože mám v plánu přechod na nový win7 a s tímhle už to nějak vydržím.

[jan.svoboda]

Takto dlouhý by měl být, akorát tu nikde nevidím v logu výpis z HijackThis, který by tu měl být Nějakou havěť tam vidím, takže HijackThis ještě pošli prosím samostatně: Stáhni jej třeba odtud http://go.trendmicro.com/free-tools/hij ... ckThis.exe a spusť, klikni na Do a system scan and save a log, po chvíli se zobrazí log v Poznámkovém dokumentu, jeho obsah sem vlož.

Pokud problém bude přetrvávat i po vyčištění PC od havěti, vyřešíme jej jiným způsobem. Ale prvně je vhodné odstranit havěť, co zde je.

[lelekdk]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:40:38, on 28.12.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\WF2K.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\WatchDog\WatchDog.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
F:\Program Files\Automatické vypnutí počítače\avp.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\System32\taskmgr.exe
L:\RIST\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/skinit/icq/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE Initial
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [watchdog] C:\Program Files\WatchDog\WatchDog.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Automatické vypnutí počítače.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

--
End of file - 6352 bytes

[jan.svoboda]

OK, v HijackThis Fixni (označ u řádků které napíšu vlevo čtvereček a klikni na Fix it):

R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing)

+ http://www.viry.cz/forum/viewtopic.php?f=29&t=67229 - Stáhni, nainstaluj, proveď aktualizaci, úplný sken, nic nemaž a výsledek z logu pošly sem.

[lelekdk]

Malwarebytes' Anti-Malware 1.42
Verze databáze: 3443
Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

28.12.2009 13:25:15
mbam-log-2009-12-28 (13-24-50).txt

Typ kontroly: Kompletní kontrola (C:\|F:\|H:\|)
Zkontrolované objekty: 266039
Uplynulý čas: 29 minute(s), 36 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 4

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\Program Files\Sierra\SWAT 4\Content\System\rld-s4kg.EXE (Trojan.Downloader) -> No action taken.
F:\A-Data\prográmky\super_pi_mod.exe (Malware.Packer.Krunchy) -> No action taken.
F:\A-Data\prográmky\PI\super_pi_mod.exe (Malware.Packer.Krunchy) -> No action taken.
C:\Documents and Settings\Zbiňďa\Update.exe (Trojan.Dropper) -> No action taken.

[jan.svoboda]

Soubor C:\Program Files\Sierra\SWAT 4\Content\System\rld-s4kg.EXE je zřejmě crack/keygen, že?
Znáš C:\Documents and Settings\Zbiňďa\Update.exe?

[lelekdk]

jo na ten swat jsem už koukal, je to zůstatek po odinstalování. a ten druhý neznám

[jan.svoboda]

OK. Ještě tedy vlož log z ComboFixu, a přes něj zrovna pomažeme zbývající havěť v PC. Poté budeme dále řešit příčinu ukládání souboru do .HOUSE.

Návod:

Stahni si ComboFix
( http://download.bleepingcomputer.com/sUBs/ComboFix.exe , http://www.forospyware.com/sUBs/ComboFix.exe ) na plochu,

beta: http://download.bleepingcomputer.com/sU ... ttyFix.exe

- ukoncete vsechna aktivni okna a spuste ho pod uctem administratora.
- potvrdte licencni podminky - klik na "Ano", pripadne dalsi vyzvy programu.
- zapiste si informace proc se ukoncil nebo co mu brani v provozu (sdelte radci)
- nechte stahnout i nainstalovat recovery konzolu (velmi doporucuji)
- behem skenu neklikejte do zobrazeneho okna, je mozne ze CF restartuje PC.
- sken by mel trvat max. 20 minut. Pokud ani do uvedene doby nedojde k jeho ukonceni, ukoncite ho, kdy uvedeny problem nahlaste radci.
- po ukonceni se otevre log (textovy soubor) - pokud se tak nestane lze log najit C:\ComboFix.txt - cely obsah logu zkopirujte do sveho prispevku

[lelekdk]

mám ještě předtím smazat to co mi našel malware?

[jan.svoboda]

Zatím ne, něco z toho je korektní (MWAW má občas falešnou udetekci, ale je to perfektí jednoúčelový antivir). Vše co bdue třeba smažeme až poté přes ComboFix. Nyní pouze vlož jeho log.

[lelekdk]

ComboFix 09-12-27.03 - Zbiňďa 28.12.2009 15:11:13.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1023.678 [GMT 1:00]
Spuštěný z: l:\combofix\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ieuinit.inf

c:\windows\system32\qmgr.dll . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-11-28 do 2009-12-28 )))))))))))))))))))))))))))))))
.

2009-12-28 11:53 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-28 11:53 . 2009-12-28 11:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-28 11:53 . 2009-12-03 15:13 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-28 10:50 . 2009-12-28 11:12 -------- d-----w- c:\program files\trend micro
2009-12-28 10:49 . 2009-12-28 10:50 -------- d-----w- C:\rsit
2009-11-29 13:06 . 2009-11-29 13:09 -------- d-----w- C:\Fraps
2009-11-28 23:52 . 2009-11-28 23:52 -------- d-----w- c:\program files\Recuva

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-20 12:06 . 2009-08-06 20:49 -------- d-----w- c:\program files\Opera
2009-12-19 16:43 . 2008-03-25 23:22 -------- d-----w- c:\program files\VideoLAN
2009-11-07 22:49 . 2009-11-07 22:49 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-10-25 09:05 . 2001-10-25 10:00 73416 ----a-w- c:\windows\system32\perfc005.dat
2009-10-25 09:05 . 2001-10-25 10:00 398746 ----a-w- c:\windows\system32\perfh005.dat
2009-10-16 18:29 . 2009-10-16 17:29 25 ----a-w- c:\windows\popcinfot.dat
2006-09-17 17:27 . 2006-09-17 17:27 11787500 ----a-w- c:\program files\DVDCopy.exe
2006-09-17 17:20 . 2006-09-17 17:20 1459223 ----a-w- c:\program files\zprava_103.zip
2006-06-17 15:43 . 2006-06-17 15:43 13578240 ----a-w- c:\program files\ACDSee 5.0 PowerPack Trial.msi
2008-07-27 13:53 . 2008-07-27 13:53 60518 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-07-27 13:53 . 2008-07-27 13:53 49248 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-07-27 13:53 . 2008-07-27 13:53 165992 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2005-07-20 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"WinFoxV2"="c:\windows\System32\WF2K.EXE" [2005-08-26 1310720]
"WinFast2KLoadDefault"="wf2kcpl.dll" [2005-08-24 615424]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"watchdog"="c:\program files\WatchDog\WatchDog.exe" [2004-09-13 732672]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\ZbiĺÔa\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Automatick‚ vypnutˇ poźˇtaźe.lnk - f:\program files\Automatick‚ vypnutˇ poźˇtaźe\avp.exe [2004-12-28 443392]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [1.4.2007 15:04 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [1.4.2007 15:04 5248]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [8.7.2009 17:22 721904]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [4.4.2008 15:49 114768]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [11.6.2007 10:47 13696]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [21.7.2008 9:18 222968]
R4 WINFOXIO;WINFOXIO;c:\windows\system32\drivers\WINFOXIO.sys [17.6.2006 16:16 9600]
S0 AmdAcpi;AmdAcpi Bus Filter Driver;c:\windows\System32\DRIVERS\AmdAcpi.sys --> c:\windows\System32\DRIVERS\AmdAcpi.sys [?]
S0 ElbyVCD;ElbyVCD;c:\windows\System32\DRIVERS\ElbyVCD.sys --> c:\windows\System32\DRIVERS\ElbyVCD.sys [?]
S1 amdtools;AMD Special Tools Driver;c:\windows\System32\DRIVERS\amdtools.sys --> c:\windows\System32\DRIVERS\amdtools.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28.12.2009 12:53 38224]
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/skinit/icq/
uInternet Connection Wizard,ShellNext = iexplore
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Zbiňďa\Data aplikací\Mozilla\Firefox\Profiles\s3s5gpyk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://www.atlas.cz/?from=icqhp
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\documents and settings\Zbiňďa\Data aplikací\Mozilla\Firefox\Profiles\s3s5gpyk.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-ICQ - c:\program files\ICQ6\ICQ.exe
AddRemove-Robots - c:\program files\Evis Games\Robots\uninstall.exe
AddRemove-Fish Fillets - h:\hry\UNWISE.EXE
AddRemove-ICQ 5.04 čeština - c:\program files\ICQLite\Uninstal.exe
AddRemove-RD Helper_is1 - h:\osobní\rd2\RD2 na nový věk\RD_Helper\unins000.exe
AddRemove-Servant Salamander 2.0 - c:\program files\Servant Salamander 2.0\remove\remove.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 15:21
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86222D40]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74dbaac
\Driver\ACPI -> ACPI.sys @ 0xf7302740
\Driver\atapi -> atapi.sys @ 0xf72ad510
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
NDIS: NVIDIA nForce Networking Controller #2 -> SendCompleteHandler -> NDIS.sys @ 0xf71c6d84
PacketIndicateHandler -> NDIS.sys @ 0xf71d3480
SendHandler -> NDIS.sys @ 0xf71b4933
user & kernel MBR OK

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-861567501-2000478354-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:62,52,98,4e,9f,3f,67,11,7d,11,14,ef,82,a5,d1,46,00,e0,24,cb,12,fb,70,
a3,6c,17,87,d7,fb,17,dc,47,c1,de,9b,c1,7e,a5,aa,54,4c,9a,4b,9e,ff,59,4f,4c,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-861567501-2000478354-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:5a,7e,54,97,25,1e,d1,ab,27,be,01,d6,b3,e2,b8,c9,fd,21,44,49,e6,
9c,8d,d0,7d,2d,52,41,cd,be,af,61,0d,e0,d2,82,86,9b,71,2c,67,48,2a,9d,f2,18,\
"rkeysecu"=hex:72,54,bc,cd,6f,f8,43,1e,03,e7,b5,4c,37,57,81,d0
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(824)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3964)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Borland\InterBase\bin\ibguard.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
c:\progra~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
f:\program files\Automatické vypnutí počítače\avp.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Borland\InterBase\bin\ibserver.exe
c:\program files\Common Files\PCSuite\Services\ServiceLayer.exe
.
**************************************************************************
.
Celkový čas: 2009-12-28 15:23:19 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-12-28 14:23

Před spuštěním: Volných bajtů: 55 373 770 752
Po spuštění: Volných bajtů: 60 725 055 488

- - End Of File - - 5D430E3D51B73CDBD82D35B1B6D9A89D

[jan.svoboda]

Pozor, v PC je docela dost havěti a pro případ nouze udělej zálohu nejdůležitějších souborů, vir může způsobit nenávratné poškození systému.

Například odtud stáhni soubor qmgr.dll - http://www.driverskit.com/dll/qmgr.dll/2985.html nebo http://www.dlldump.com/download-dll-fil ... nload.html ... Rozbal jej na plochu.

Otevři Poznámkový blok a vlož do něj tento skript (kromě Kód):

Kód: Vybrat vše

KillAll::

FCopy::
C:\Documents and Settings\Zbiňďa\plocha\qmgr.dll | c:\windows\system32\qmgr.dll

File::
C:\Documents and Settings\Zbiňďa\Update.exe

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR]

Ulož na plochu jako CFScript.txt. Pak jej myší přetáhni nad ikonu ComboFix a pusť. CF se spustí a vykoná příkazy ze skriptu.

[lelekdk]

udělalo mi to nový log. Přikládám

ComboFix 09-12-27.03 - Zbiňďa 28.12.2009 16:59:07.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1023.699 [GMT 1:00]
Spuštěný z: c:\documents and settings\Zbiňďa\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Zbiňďa\Plocha\CFScript.txt

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
"c:\documents and settings\Zbiňďa\Update.exe"
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Zbiňďa\Update.exe

.
--------------- FCopy ---------------

c:\documents and settings\Zbiňďa\plocha\qmgr.dll --> c:\windows\system32\qmgr.dll
.
((((((((((((((((((((((((( Soubory vytvořené od 2009-11-28 do 2009-12-28 )))))))))))))))))))))))))))))))
.

2009-12-28 11:53 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-28 11:53 . 2009-12-28 11:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-28 11:53 . 2009-12-03 15:13 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-28 10:50 . 2009-12-28 11:12 -------- d-----w- c:\program files\trend micro
2009-12-28 10:49 . 2009-12-28 10:50 -------- d-----w- C:\rsit
2009-11-29 13:06 . 2009-11-29 13:09 -------- d-----w- C:\Fraps
2009-11-28 23:52 . 2009-11-28 23:52 -------- d-----w- c:\program files\Recuva

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 15:45 . 2006-06-17 14:59 382464 ----a-w- c:\windows\system32\qmgr.dll
2009-12-20 12:06 . 2009-08-06 20:49 -------- d-----w- c:\program files\Opera
2009-12-19 16:43 . 2008-03-25 23:22 -------- d-----w- c:\program files\VideoLAN
2009-11-07 22:49 . 2009-11-07 22:49 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-10-25 09:05 . 2001-10-25 10:00 73416 ----a-w- c:\windows\system32\perfc005.dat
2009-10-25 09:05 . 2001-10-25 10:00 398746 ----a-w- c:\windows\system32\perfh005.dat
2009-10-16 18:29 . 2009-10-16 17:29 25 ----a-w- c:\windows\popcinfot.dat
2006-09-17 17:27 . 2006-09-17 17:27 11787500 ----a-w- c:\program files\DVDCopy.exe
2006-09-17 17:20 . 2006-09-17 17:20 1459223 ----a-w- c:\program files\zprava_103.zip
2006-06-17 15:43 . 2006-06-17 15:43 13578240 ----a-w- c:\program files\ACDSee 5.0 PowerPack Trial.msi
2008-07-27 13:53 . 2008-07-27 13:53 60518 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-07-27 13:53 . 2008-07-27 13:53 49248 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-07-27 13:53 . 2008-07-27 13:53 165992 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2009-12-28 . 2C69EC7E5A311334D10DD95F338FCCEA . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll
[7] 2002-09-20 . D8681F65568AC0C6C7ED11E028EE3503 . 221184 . . [6.2.2600.1106] . . c:\windows\ERDNT\cache\qmgr.dll



c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2009-12-28_14.20.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 16:03 . 2009-12-28 16:03 16384 c:\windows\Temp\Perflib_Perfdata_71c.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2005-07-20 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"WinFoxV2"="c:\windows\System32\WF2K.EXE" [2005-08-26 1310720]
"WinFast2KLoadDefault"="wf2kcpl.dll" [2005-08-24 615424]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"watchdog"="c:\program files\WatchDog\WatchDog.exe" [2004-09-13 732672]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\ZbiĺÔa\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Automatick‚ vypnutˇ poźˇtaźe.lnk - f:\program files\Automatick‚ vypnutˇ poźˇtaźe\avp.exe [2004-12-28 443392]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [1.4.2007 15:04 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [1.4.2007 15:04 5248]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [8.7.2009 17:22 721904]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [4.4.2008 15:49 114768]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [11.6.2007 10:47 13696]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [21.7.2008 9:18 222968]
R4 WINFOXIO;WINFOXIO;c:\windows\system32\drivers\WINFOXIO.sys [17.6.2006 16:16 9600]
S0 AmdAcpi;AmdAcpi Bus Filter Driver;c:\windows\System32\DRIVERS\AmdAcpi.sys --> c:\windows\System32\DRIVERS\AmdAcpi.sys [?]
S0 ElbyVCD;ElbyVCD;c:\windows\System32\DRIVERS\ElbyVCD.sys --> c:\windows\System32\DRIVERS\ElbyVCD.sys [?]
S1 amdtools;AMD Special Tools Driver;c:\windows\System32\DRIVERS\amdtools.sys --> c:\windows\System32\DRIVERS\amdtools.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28.12.2009 12:53 38224]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - WINFOXIO
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/skinit/icq/
uInternet Connection Wizard,ShellNext = iexplore
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Zbiňďa\Data aplikací\Mozilla\Firefox\Profiles\s3s5gpyk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://www.atlas.cz/?from=icqhp
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\documents and settings\Zbiňďa\Data aplikací\Mozilla\Firefox\Profiles\s3s5gpyk.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-HijackThis - l:\rist\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 17:04
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8617F5C0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74dbaac
\Driver\ACPI -> ACPI.sys @ 0xf7302740
\Driver\atapi -> atapi.sys @ 0xf72ad510
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
NDIS: NVIDIA nForce Networking Controller #2 -> SendCompleteHandler -> NDIS.sys @ 0xf71c6d84
PacketIndicateHandler -> NDIS.sys @ 0xf71d3480
SendHandler -> NDIS.sys @ 0xf71b4933
user & kernel MBR OK

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-861567501-2000478354-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:62,52,98,4e,9f,3f,67,11,7d,11,14,ef,82,a5,d1,46,00,e0,24,cb,12,fb,70,
a3,6c,17,87,d7,fb,17,dc,47,c1,de,9b,c1,7e,a5,aa,54,4c,9a,4b,9e,ff,59,4f,4c,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-861567501-2000478354-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:5a,7e,54,97,25,1e,d1,ab,27,be,01,d6,b3,e2,b8,c9,fd,21,44,49,e6,
9c,8d,d0,7d,2d,52,41,cd,be,af,61,0d,e0,d2,82,86,9b,71,2c,67,48,2a,9d,f2,18,\
"rkeysecu"=hex:72,54,bc,cd,6f,f8,43,1e,03,e7,b5,4c,37,57,81,d0
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(824)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2788)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Borland\InterBase\bin\ibguard.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Borland\InterBase\bin\ibserver.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
c:\progra~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
c:\program files\Common Files\PCSuite\Services\ServiceLayer.exe
f:\program files\Automatické vypnutí počítače\avp.exe
.
**************************************************************************
.
Celkový čas: 2009-12-28 17:06:38 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-12-28 16:06
ComboFix2.txt 2009-12-28 14:23

Před spuštěním: Volných bajtů: 60 727 410 688
Po spuštění: Volných bajtů: 60 696 281 088

winxpsp1_cs_pro_bf.exe

- - End Of File - - 90860B22D74AC6BCD9B8BB0954324EAE

[jan.svoboda]

OK, nebezpečnou a nejhorší část máme za sebou, avšak stále ještě tam máš zřejmě rootkita. Havěť odstraníme, ale ještě to chviličku bude trvat, takže prosím strpení, dopracujeme se výsledku. Takže ještě jednou udělej to stejný s CFScript.txt pro ComboFix.

Stáhni a opět rozbal na plochu - http://www.driverskit.com/dll/xmlprov.dll/4048.html
Momentálně použij skript:

Kód: Vybrat vše

KillAll::

File::
c:\windows\popcinfot.dat

FCopy::
C:\Documents and Settings\Zbiňďa\plocha\xmlprov.dll | c:\windows\System32\xmlprov.dll

Dále sem opět vlož nový log, který se objeví. Potom:

Stahnete http://www.gmer.net/gmer.zip , rozbalte a spustte
probehne sken, po jehoz ukonceni na vas vyskoci vysledky
pote kliknete na Save a ulozite tak log, jehoz obsah sem vlozte
pote dle http://www.viry.cz/forum/viewtopic.php?f=29&t=62878 absolvujte druhy sken a opet obsah logu sem.

//EDIT: Klidně ty logy vkládej postupně, zvlášt z ComboFixu a zvlášť z GMERu.

[lelekdk]

ComboFix:

ComboFix 09-12-27.03 - Zbiňďa 28.12.2009 19:16:58.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1023.688 [GMT 1:00]
Spuštěný z: c:\documents and settings\Zbiňďa\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Zbiňďa\Plocha\CFScript.txt

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
/wow section - STAGE 4


((((((((((((((((((((((((( Soubory vytvořené od 2009-11-28 do 2009-12-28 )))))))))))))))))))))))))))))))
.

2009-12-28 11:53 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-28 11:53 . 2009-12-28 11:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-28 11:53 . 2009-12-03 15:13 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-28 10:50 . 2009-12-28 11:12 -------- d-----w- c:\program files\trend micro
2009-12-28 10:49 . 2009-12-28 10:50 -------- d-----w- C:\rsit
2009-11-29 13:06 . 2009-11-29 13:09 -------- d-----w- C:\Fraps
2009-11-28 23:52 . 2009-11-28 23:52 -------- d-----w- c:\program files\Recuva

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 15:45 . 2006-06-17 14:59 382464 ----a-w- c:\windows\system32\qmgr.dll
2009-12-20 12:06 . 2009-08-06 20:49 -------- d-----w- c:\program files\Opera
2009-12-19 16:43 . 2008-03-25 23:22 -------- d-----w- c:\program files\VideoLAN
2009-11-07 22:49 . 2009-11-07 22:49 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-10-25 09:05 . 2001-10-25 10:00 73416 ----a-w- c:\windows\system32\perfc005.dat
2009-10-25 09:05 . 2001-10-25 10:00 398746 ----a-w- c:\windows\system32\perfh005.dat
2009-10-16 18:29 . 2009-10-16 17:29 25 ----a-w- c:\windows\popcinfot.dat
2006-09-17 17:27 . 2006-09-17 17:27 11787500 ----a-w- c:\program files\DVDCopy.exe
2006-09-17 17:20 . 2006-09-17 17:20 1459223 ----a-w- c:\program files\zprava_103.zip
2006-06-17 15:43 . 2006-06-17 15:43 13578240 ----a-w- c:\program files\ACDSee 5.0 PowerPack Trial.msi
2008-07-27 13:53 . 2008-07-27 13:53 60518 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-07-27 13:53 . 2008-07-27 13:53 49248 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-07-27 13:53 . 2008-07-27 13:53 165992 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2009-12-28 . 2C69EC7E5A311334D10DD95F338FCCEA . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll
[7] 2002-09-20 . D8681F65568AC0C6C7ED11E028EE3503 . 221184 . . [6.2.2600.1106] . . c:\windows\ERDNT\cache\qmgr.dll



c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2009-12-28_14.20.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 18:21 . 2009-12-28 18:21 16384 c:\windows\Temp\Perflib_Perfdata_714.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2005-07-20 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"WinFoxV2"="c:\windows\System32\WF2K.EXE" [2005-08-26 1310720]
"WinFast2KLoadDefault"="wf2kcpl.dll" [2005-08-24 615424]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"watchdog"="c:\program files\WatchDog\WatchDog.exe" [2004-09-13 732672]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\ZbiĺÔa\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Automatick‚ vypnutˇ poźˇtaźe.lnk - f:\program files\Automatick‚ vypnutˇ poźˇtaźe\avp.exe [2004-12-28 443392]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [1.4.2007 15:04 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [1.4.2007 15:04 5248]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [8.7.2009 17:22 721904]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [4.4.2008 15:49 114768]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [11.6.2007 10:47 13696]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [21.7.2008 9:18 222968]
R4 WINFOXIO;WINFOXIO;c:\windows\system32\drivers\WINFOXIO.sys [17.6.2006 16:16 9600]
S0 AmdAcpi;AmdAcpi Bus Filter Driver;c:\windows\System32\DRIVERS\AmdAcpi.sys --> c:\windows\System32\DRIVERS\AmdAcpi.sys [?]
S0 ElbyVCD;ElbyVCD;c:\windows\System32\DRIVERS\ElbyVCD.sys --> c:\windows\System32\DRIVERS\ElbyVCD.sys [?]
S1 amdtools;AMD Special Tools Driver;c:\windows\System32\DRIVERS\amdtools.sys --> c:\windows\System32\DRIVERS\amdtools.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28.12.2009 12:53 38224]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - WINFOXIO
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/skinit/icq/
uInternet Connection Wizard,ShellNext = iexplore
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Zbiňďa\Data aplikací\Mozilla\Firefox\Profiles\s3s5gpyk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://www.atlas.cz/?from=icqhp
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\documents and settings\Zbiňďa\Data aplikací\Mozilla\Firefox\Profiles\s3s5gpyk.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 19:21
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86180CD0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74dbaac
\Driver\ACPI -> ACPI.sys @ 0xf7302740
\Driver\atapi -> atapi.sys @ 0xf72ad510
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
NDIS: NVIDIA nForce Networking Controller #2 -> SendCompleteHandler -> NDIS.sys @ 0xf71c6d84
PacketIndicateHandler -> NDIS.sys @ 0xf71d3480
SendHandler -> NDIS.sys @ 0xf71b4933
user & kernel MBR OK

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-861567501-2000478354-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:62,52,98,4e,9f,3f,67,11,7d,11,14,ef,82,a5,d1,46,00,e0,24,cb,12,fb,70,
a3,6c,17,87,d7,fb,17,dc,47,c1,de,9b,c1,7e,a5,aa,54,4c,9a,4b,9e,ff,59,4f,4c,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-861567501-2000478354-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:5a,7e,54,97,25,1e,d1,ab,27,be,01,d6,b3,e2,b8,c9,fd,21,44,49,e6,
9c,8d,d0,7d,2d,52,41,cd,be,af,61,0d,e0,d2,82,86,9b,71,2c,67,48,2a,9d,f2,18,\
"rkeysecu"=hex:72,54,bc,cd,6f,f8,43,1e,03,e7,b5,4c,37,57,81,d0
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(824)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2712)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Borland\InterBase\bin\ibguard.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Borland\InterBase\bin\ibserver.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
f:\program files\Automatické vypnutí počítače\avp.exe
c:\program files\Common Files\PCSuite\Services\ServiceLayer.exe
c:\progra~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
.
**************************************************************************
.
Celkový čas: 2009-12-28 19:24:29 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-12-28 18:24
ComboFix2.txt 2009-12-28 16:06
ComboFix3.txt 2009-12-28 14:23

Před spuštěním: Volných bajtů: 60 762 685 440
Po spuštění: Volných bajtů: 60 731 924 480

- - End Of File - - AFA76611103B87EA4C9B12FD1407BBEF

[lelekdk]

GMER:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2009-12-28 19:27:56
Windows 5.1.2600 Service Pack 1
Running: gmer.exe; Driver: C:\DOCUME~1\ZBIA~1\LOCALS~1\Temp\awkcrfow.sys


---- System - GMER 1.0.15 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF732A2A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF7335910]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 863E41F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \Fat 8571F1F8
Device \FileSystem\Fastfat \Fat 855F2248

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

[lelekdk]

GMER podruhý

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-28 19:58:09
Windows 5.1.2600 Service Pack 1
Running: gmer.exe; Driver: C:\DOCUME~1\ZBIA~1\LOCALS~1\Temp\awkcrfow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF44486B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF4448574]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF7329A20]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF4448A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF444814C]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF732A2A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF7335910]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF444864E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF444808C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF44480F0]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF732A2C8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF444876E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF444872E]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF73350B0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF44488AE]

INT 0x62 ? 8637ABF8
INT 0x63 ? 862D4BF8
INT 0x73 ? 8637ABF8
INT 0x82 ? 8637ABF8
INT 0x83 ? 8637ABF8
INT 0xB4 ? 862D4BF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [06]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 170 805025EC 4 Bytes [B8, 86, 44, F4]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 8050262C 4 Bytes [74, 85, 44, F4] {JZ 0xffffffffffffff87; INC ESP; HLT }
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1C0 8050263C 4 Bytes [20, 9A, 32, F7]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 210 8050268C 4 Bytes [52, 8A, 44, F4]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 21C 80502698 4 Bytes [4C, 81, 44, F4]
.text ...
? sphh.sys Systém nemůže nalézt uvedený soubor. !
? Combo-Fix.sys Systém nemůže nalézt uvedený soubor. !
.text USBPORT.SYS!DllUnload F7121F88 5 Bytes JMP 862D41D8
.text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6949360, 0x1DE5ED, 0xE8000020]
.text C:\WINDOWS\System32\DRIVERS\atksgt.sys section is writeable [0xBA14F300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\System32\DRIVERS\lirsgt.sys section is writeable [0xF7877300, 0x1B7E, 0xE8000020]
pnidata C:\WINDOWS\System32\DRIVERS\secdrv.sys unknown last section [0xBA03AF00, 0x24000, 0x48000000]
? C:\ComboFix\catchme.sys Systém nemůže nalézt uvedenou cestu. !
? C:\WINDOWS\System32\Drivers\PROCEXP113.SYS Systém nemůže nalézt uvedený soubor. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 863E94B8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7397C4C] sphh.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7397CA0] sphh.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7367042] sphh.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F736713E] sphh.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73670C0] sphh.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7367800] sphh.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73676D6] sphh.sys
IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[NTOSKRNL.EXE!DbgBreakPoint] 862D42D8

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00560002
IAT C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00560000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 863E41F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom 8571F1F8
Device \FileSystem\Fastfat \FatCdrom 855F2248
Device \Driver\usbstor \Device\0000008f 856EF1F8
Device \Driver\usbstor \Device\0000008f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbohci \Device\USBPDO-0 8619D1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8637B1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8637B1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8637B1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8637B1F8
Device \Driver\usbehci \Device\USBPDO-1 861911F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{5FC6DBAA-EBF1-4858-AE08-0750EA8249C8} 857641F8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Ftdisk \Device\HarddiskVolume1 863E71F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{3C22B564-8D82-4000-96A2-8AC0CE010D24} 857641F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 863E71F8
Device \Driver\Cdrom \Device\CdRom0 8615A6D8
Device \FileSystem\Rdbss \Device\FsWrap 859206F0
Device \Driver\Ftdisk \Device\HarddiskVolume3 863E71F8
Device \Driver\Cdrom \Device\CdRom1 8615A6D8
Device \Driver\usbstor \Device\00000080 856EF1F8
Device \Driver\usbstor \Device\00000080 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\nvata \Device\00000075 86180CD0
Device \Driver\usbstor \Device\00000081 856EF1F8
Device \Driver\usbstor \Device\00000081 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\nvata \Device\00000077 86180CD0
Device \Driver\NetBT \Device\NetBt_Wins_Export 857641F8
Device \Driver\usbstor \Device\00000084 856EF1F8
Device \Driver\usbstor \Device\00000084 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\nvata \Device\00000078 86180CD0
Device \Driver\NetBT \Device\NetbiosSmb 857641F8
Device \Driver\usbstor \Device\00000085 856EF1F8
Device \Driver\usbstor \Device\00000085 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000086 856EF1F8
Device \Driver\usbstor \Device\00000086 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000087 856EF1F8
Device \Driver\usbstor \Device\00000087 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Srv \Device\LanmanServer 85526E28
Device \Driver\usbstor \Device\00000088 856EF1F8
Device \Driver\usbstor \Device\00000088 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbohci \Device\USBFDO-0 8619D1F8
Device \Driver\usbehci \Device\USBFDO-1 861911F8
Device \Driver\nvata \Device\NvAta0 86180CD0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 857061F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 858DD7C8
Device \Driver\nvata \Device\NvAta1 86180CD0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 857061F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 858DD7C8
Device \Driver\nvata \Device\NvAta2 86180CD0
Device \FileSystem\Npfs \Device\NamedPipe 859276F8
Device \Driver\Ftdisk \Device\FtControl 863E71F8
Device \FileSystem\Msfs \Device\Mailslot 8615D460
Device \Driver\d347prt \Device\Scsi\d347prt1Port3Path0Target0Lun0 860EA008
Device \Driver\d347prt \Device\Scsi\d347prt1 860EA008
Device \Driver\usbstor \Device\0000008d 856EF1F8
Device \Driver\usbstor \Device\0000008d sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Fastfat \Fat 8571F1F8
Device \FileSystem\Fastfat \Fat 855F2248

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 85C55660
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 85C55660
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 85C55660
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 85C55660
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 85C55660
Device \FileSystem\Cdfs \Cdfs 8574D1F8
Device \FileSystem\Cdfs \Cdfs 8590D7E8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0x8B 0xEE 0x74 0x33 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z1 0x48 0xE8 0x74 0x50 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z2 0xF6 0xE3 0x74 0x85 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z3 0x04 0xFB 0x74 0xE1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z4 0xFF 0xF5 0x74 0xD2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z5 0x79 0xCC 0x74 0x44 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z6 0xBA 0xC6 0x74 0x05 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z7 0xB1 0xC0 0x74 0x1D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z8 0x9C 0xDA 0x74 0x01 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z9 0x39 0xD4 0x74 0x1F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z10 0x82 0xD1 0x74 0x7E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z11 0xEC 0xAA 0x74 0x18 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z12 0x02 0xA4 0x74 0xDC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z13 0x36 0xA1 0x74 0x62 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z14 0x04 0xBA 0x74 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z15 0xF5 0xB6 0x74 0x08 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z16 0x82 0xB3 0x74 0xFA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z17 0x27 0x8C 0x74 0x27 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z18 0xA3 0x88 0x74 0xAC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z19 0x32 0x85 0x74 0xFE ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z20 0x9B 0x81 0x74 0xEE ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z21 0xD0 0x9D 0x74 0xC0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z22 0xE2 0x99 0x74 0x2B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z23 0x02 0x92 0x74 0x71 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z24 0x31 0x6E 0x74 0x78 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z25 0x30 0x6A 0x74 0x35 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z26 0x07 0x66 0x74 0x03 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z27 0xE0 0x65 0x74 0x4F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z28 0xD2 0x61 0x74 0xBF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z29 0x1C 0xEE 0x74 0x33 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z30 0x1C 0xEE 0x74 0x33 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z31 0x1C 0xEE 0x74 0x33 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z32 0x1C 0xEE 0x74 0x33 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

---- EOF - GMER 1.0.15 ----

[jan.svoboda]

OK, správně.

Dále otestuj na VIRUSTOTALu - http://www.virustotal.com/cs/:

c:\windows\System32\Drivers\CLASSPNP.SYS
c:\windows\system32\dllcache\atapi.sys
c:\windows\system32\drivers\atapi.sys
c:\windows\system32\drivers\ACPI.sys
c:\windows\system32\drivers\disk.sys

(navod prosty: po nacteni stranky kliknete na tlacitko Prochazet , najdete cestu k vyse zminenemu souboru a kliknete na tlacitko Odeslat soubor; dejte skenerum nejakych deset minut; vysledek sem vlozte)

Pokud skener napíše, že soubor již byl testován, dejte otestovat znovu.


Stahni MBR http://www2.gmer.net/mbr/mbr.exe primo na C:\ tak aby nebyl v zadne slozce
- spust
- v miste spusteni programu se vytvori log s nazvem mbr.txt
- otevri log, jeho obsah vloz do sveho prispevku


Klik na Start - Spustit, zde zadej cmd , zmackni enter, otevre se doss okno, v nem napis:

cd \, odentruj
mbr.exe -t , odentruj

znovu otevri mbr.txt, jeho log by mel byt jiny, rad ho uvidim.

Mel bys instal cd OS dle potreby?