zachrana Win XP

[strelec3751]

Zdravím Vás všechny.
Pokud máte někdo dobrou náladu měl bych prosbu o radu.
Najednou, bez zjevne příčiny mi nejdou "nastartovat" Win XP. Po úvodní obrazovce a proběhnutí "černobílého výčtu" se objeví modrá obrazovka s hlášením, že nelze nalézt soubor gdi32.dll. Tento soubor se nachází v adresáři "system 32". Nainstaloval jsem si nový system na druhý disk, takže počítač mám jakž takž funkční a dostanu se k příslušným souborům původního OS. Je mi jasné, že nejjednodušší řešení by byla přeinstalace systemu a zřejmě k ní nakonec dojde, ale chtěl bych se pokusit alespoň nějak dočasně původní system zprovoznit a zazálohovat některé důležitá nastavení, např. certifikáty pro homebanking, oblíbené položky z Firefoxu apod. Myslíte, že by pomohlo přepsání poškozeného (je zřejmě skutečně nějak poškozený, protože ani v TotalComaderu nejde překopírovat jinam-hlásí, že soubor je poškozen) souboru z nově nainstalovaného OS.
A pokud by tu byla naděje na úspěch myslíte, že by to bylo možné za pomoci programu "Unlockeru" protože tento soubor je uzamčený a nejde ani přepsat ani smazat.
Omlouvám se, pokud moje úvahy jsou příliš naivní a neodborné, opravdu se ve fungování OS nevznám.

Jestli bude mít někdo chuť se mým problém zabývat předem děkuji.

Strelec

[Reklama]

[mijaja]

Jestli máš nainstalovaný systém i na druhém disku - myslím tím, že máš dva fyzické disky, ne jeden rozdělený - tak ten první s nefunkčním připoj jako Slave a ten druhý, funkční dej jako Master. Potom by soubor Gdi32.dll na Slave disku nebyl aktivní a měl by jít přepsat tím souborem z toho druhého (Mastera). Potom zase přepni jumpery a zkus to restartovat na ten opravený disk. Soubor GDI32.dll si následně zaktualizuj na opravu chyby

(Obecné informace > Informace o této aktualizaci zabezpečení > Windows XP (všechny verze) > Informace o souborech)

No a snad to pomůže.

[strelec3751]

Zdravím,

tak se nám podařilo nahradit soubory ve starém systému překopírováním z nového OS, Nakonec jich bylo 7. Po spuštění starého systému se začne dokončovat již dříve spuštěný proces opravy systemu z instalačního CD. Oprava proběhne do stadia "instalace systemu" ale zastavi se v bodě kdy do dokončení zbývá 34 minut.
Samozřejmě jsme spustili chkdsk i "kasperskeho", vše proběhlo, smazali a obnovili se nějaké sektory, Kasperský našel několik desítek trojanů apod, které jsem nechal smazat. (to mně trochu překvapilo, protože systém "byl v péči AVASTU a BitDefendru")

Bohužel se zhroutil i nový OS, při spuštění hlásí vždy nějaké chybějící nebo poškozené soubory a to i po opětovné nové instalaci OS. Tedy konkretně system po nové instalaci naběhl, tak jsem nainstaloval SP 1a 2 a při restartu už system hlásil ty chybějící soubory.

takže jsem v koncích a vypadá to na tak na ránu do hlavy.

[seitec]

jak mas ten disk stary? ty konicci ti mohli napadnout i ten druhej system. zkusil bych ty disky strcit do jinyho pc poradne odvirovat a zachranit data co se daji.

[mikel]

seitec má pravdu. Jediné, co můžeš udělat, je strčit disk jinam, pořádně odvirovat, ať nerozšiřuješ nákazu a pak zálohovat všechna data.
No a pak už formát a čistý instal OS.

[strelec3751]

Zdravím, díky za rady.

Jak bych ale měl provést odvirování? Jak už jsem psal, na počítači byl aktuální a funkční AVAST a Bit Defender a ještě jsem po zjištění potíží, dokud byl druhý OS funkční, proskenoval celý počítač trial verzí Kasperského a veškeré nalezené malware jsem smazal. A jak se zdá stejně to nepomohlo.
Teď už mně napadá jen kladivo.

Ještě na okraj několik dotazů. pokud by se mi nějak povedlo zprovoznit OS daly by se někde najít "záložky" z Firefoxu? Explorer na to má svojí složku, ale kde najít Firefox. No ale to už asi bude úplně beznadějné, dostat se nějak k certifikátům do Homebankingu, abych je mohl nainstalovat na nový systém.

No a pak už bych s vcelku klidným srdcem reformátoval C.

[mijaja]

Documents And Settings\"Username"(tvůj účet)\Data Aplikací\Mozilla\Firefox\Profiles\ ve složkách najdi soubor bookmarks.html - to je seznam tvých oblíbených. Překopíruj kam chceš a potom zase zpět na to samé místo.

Na odvirování sem dej log z HijackThisu a MWAVu - oba odkazy i s návody mám v podpisu.

[strelec3751]

Zdravím,

po zjištění, že problémy budou asi způsobeny vira jsem původní problém odsunul do pozadí a teď řeším otázku záchrany dalších dvou počítačů, které jsou s tím "chcíplým" v domácí síti přes router.

takže jsem podle návodu od Mijaji smazal dočasné soubory, pokyny pro Javu nelze realizovat, protože na tomto počítači mám Win 2000 NT.
Pak jsem celý počítač proskenoval v nouzovém rěžimu aktuálním Avastem a Spybotem. Avast našel jeden virus, který zlikvidoval, Spybot mi pogratuloval, že je počítač bez nákazy. Pak jsem proskenoval počitač scannerem MWAV. Podle svého nejlepšího svědomí jsem podle návodu "zpracoval" výsledky.
Mně to tedy vůbec nic neříká, můžete to prosím někdo prohlédnout a nějak srozumitelně interpretovat?

předem děkuji Strelec

Wed Jun 21 20:17:32 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Wed Jun 21 20:18:07 2006 => Downloading AntiVirus and Anti-Spyware Databases...
Wed Jun 21 20:19:12 2006 => Indexed Spyware Databases Successfully Created...
Wed Jun 21 20:20:01 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Wed Jun 21 20:20:52 2006 => ERROR!!! Invalid Entry load = ,DTMONX.EXE (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows). No Action Taken.
Wed Jun 21 20:20:59 2006 => ERROR!!! Invalid Entry C:\Program Files\ALWIL Software\AVAST32\avserver.exe /ServiceStart in SYSTEM\CurrentControlSet\Services\Avast32 Start as Service...
Wed Jun 21 20:21:12 2006 => ***** Scanning Registry and File system for Adware/Spyware ****
Wed Jun 21 20:21:12 2006 => Loading Spyware Signatures from new External Database (Size: 160279).
Wed Jun 21 20:21:12 2006 => Indexed Spyware Databases Successfully Created...

Wed Jun 21 20:22:17 2006 => System found infected with netpal Spyware/Adware ({000e7270-cc7a-0786-8e7a-da09b51938a6})! Action taken: No Action Taken.
Wed Jun 21 20:22:21 2006 => System found infected with favoriteman Spyware/Adware ({00000ef1-0786-4633-87c6-1aa7a44296da})! Action taken: No Action Taken.
Wed Jun 21 20:22:21 2006 => System found infected with netpal Spyware/Adware ({000e7270-cc7a-0786-8e7a-da09b51938a6})! Action taken: No Action Taken.
Wed Jun 21 20:22:21 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Jun 21 20:22:21 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Jun 21 20:22:25 2006 => System found infected with bargainbuddy Spyware/Adware ({9388907f-82f5-434d-a941-bb802c6dd7c1})! Action taken: No Action Taken.
Wed Jun 21 20:22:27 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\npo !!!
Wed Jun 21 20:22:27 2006 => Object "netpal Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:28 2006 => Offending Key found: HKLM\Software\dbi !!!
Wed Jun 21 20:22:28 2006 => Object "toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:28 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\clocksync !!!
Wed Jun 21 20:22:28 2006 => Object "clocksync Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:28 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\gain publishing !!!
Wed Jun 21 20:22:28 2006 => Object "claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:28 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\precisiontime !!!
Wed Jun 21 20:22:28 2006 => Object "precisiontime Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:29 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenusearch !!!
Wed Jun 21 20:22:29 2006 => Object "whenu/search Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:29 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\clocksync !!!
Wed Jun 21 20:22:29 2006 => Object "clocksync Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:29 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\gain publishing !!!
Wed Jun 21 20:22:29 2006 => Object "claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:29 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\precisiontime !!!
Wed Jun 21 20:22:29 2006 => Object "precisiontime Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:29 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\whenusearch !!!
Wed Jun 21 20:22:29 2006 => Object "whenu/search Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:30 2006 => Offending file found: C:\ied_s7.cab
Wed Jun 21 20:22:30 2006 => System found infected with paymite Browser Hijacker (ied_s7.cab)! Action taken: No Action Taken.

Wed Jun 21 20:22:32 2006 => Offending file found: C:\WINNT\TEMP\_istmp1.dir\_istmp0.dir\acodec.dll
Wed Jun 21 20:22:32 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.

Wed Jun 21 20:22:32 2006 => Offending file found: C:\WINNT\TEMP\_istmp2.dir\_istmp0.dir\acodec.dll
Wed Jun 21 20:22:32 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.

Wed Jun 21 20:22:32 2006 => Offending file found: C:\WINNT\system32\acodec.dll
Wed Jun 21 20:22:32 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.

Wed Jun 21 20:22:32 2006 => Offending file found: C:\WINNT\system32\cd_clint.dll
Wed Jun 21 20:22:32 2006 => System found infected with cydoor Spyware/Adware (cd_clint.dll)! Action taken: No Action Taken.

Wed Jun 21 20:22:32 2006 => Offending file found: C:\WINNT\system32\ia.dll
Wed Jun 21 20:22:32 2006 => System found infected with troj/banker-q Spyware/Adware (ia.dll)! Action taken: No Action Taken.

Wed Jun 21 20:22:32 2006 => Offending file found: C:\WINNT\system32\im64.dll
Wed Jun 21 20:22:32 2006 => System found infected with cydoor Spyware/Adware (im64.dll)! Action taken: No Action Taken.

Wed Jun 21 20:22:33 2006 => Offending file found: C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\bb.exe
Wed Jun 21 20:22:33 2006 => System found infected with istbar Spyware/Adware (bb.exe)! Action taken: No Action Taken.

Wed Jun 21 20:22:36 2006 => Offending Folder found: C:\Documents and Settings\16ricany.lz6\Data aplikací\winshow
Wed Jun 21 20:22:36 2006 => Object "winshow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 21 20:22:41 2006 => Offending file found: C:\Documents and Settings\16ricany.lz6\Local Settings\temp\bb.exe
Wed Jun 21 20:22:41 2006 => System found infected with istbar Spyware/Adware (bb.exe)! Action taken: No Action Taken.

Wed Jun 21 20:22:42 2006 => Offending file found: C:\Documents and Settings\16ricany.lz6\Local Settings\temp\organize\exe\iehelper.dll
Wed Jun 21 20:22:42 2006 => System found infected with w32.aspam.trojan.b Spyware/Adware (iehelper.dll)! Action taken: No Action Taken.
Wed Jun 21 20:24:15 2006 => File C:\WINNT\system32\mset_bbi8010.exe tagged as "not-a-virus:AdWare.Win32.BargainBuddy.a". Action Taken: No Action Taken.
Wed Jun 21 20:24:30 2006 => File C:\WINNT\system32\NLNP13.exe tagged as "not-a-virus:AdWare.Win32.IGetNet". Action Taken: No Action Taken.
Wed Jun 21 20:24:53 2006 => File C:\WINNT\system32\sahagent1012.exe tagged as "not-a-virus:AdWare.Win32.Sahat.a". Action Taken: No Action Taken.
Wed Jun 21 20:26:34 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\riskware.avc [**]
Wed Jun 21 20:26:34 2006 => File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\RSP001.DLL.dat tagged as "not-a-virus:AdWare.Win32.IGetNet". Action Taken: No Action Taken.
ed Jun 21 20:26:39 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\0X6BS163\logo%20spyware[1].gif [**]
Wed Jun 21 20:27:17 2006 => Checking for Adware.SeekSeek Virus...
Wed Jun 21 20:27:17 2006 => ***** Checking for specific ITW Viruses *****
Wed Jun 21 20:27:17 2006 => Checking for Welchia Virus...
Wed Jun 21 20:27:17 2006 => Checking for LovGate Virus...
Wed Jun 21 20:27:17 2006 => Checking for CodeRed Virus...
Wed Jun 21 20:27:17 2006 => Checking for OpaServ Virus...
Wed Jun 21 20:27:17 2006 => Checking for Sobig.e Virus...
Wed Jun 21 20:27:17 2006 => Checking for Winupie Virus...
Wed Jun 21 20:27:17 2006 => Checking for Swen Virus...
Wed Jun 21 20:27:17 2006 => Checking for JS.Fortnight Virus...
Wed Jun 21 20:27:17 2006 => Checking for Novarg Virus...
Wed Jun 21 20:27:17 2006 => Checking for Pagabot Virus...
Wed Jun 21 20:27:17 2006 => Checking for Parite.b Virus...
Wed Jun 21 20:27:17 2006 => Checking for Parite.a Virus...
Wed Jun 21 20:27:13 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\virus020.avc [**]
Wed Jun 21 20:27:13 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\virus.avi [**]
Wed Jun 21 20:26:49 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\CP2ZO92V\rzr09[1].jpg [**]
Wed Jun 21 20:26:49 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\CP2ZO92V\rzr[1].htm
Wed Jun 21 20:26:49 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\CP2ZO92V\satcentrum[1].gif [**]
Wed Jun 21 20:26:49 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\CP2ZO92V\screenshot[1].jpg [**]
Wed Jun 21 20:26:49 2006 => Scanning File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\CP2ZO92V\search[1].php
Wed Jun 21 20:26:49 2006 => File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\CP2ZO92V\search[1].php infected by "Trojan-Downloader.JS.IstBar.u" Virus! Action Taken: No Action Taken.
Wed Jun 21 20:26:34 2006 => File C:\DOCUME~1\16ricany.lz6\LOCALS~1\Temp\RSP001.DLL.dat tagged as "not-a-virus:AdWare.Win32.IGetNet". Action Taken: No Action Taken.
Wed Jun 21 20:25:16 2006 => Scanning File C:\WINNT\system32\virtear.dll
Wed Jun 21 20:24:53 2006 => File C:\WINNT\system32\sahagent1012.exe tagged as "not-a-virus:AdWare.Win32.Sahat.a". Action Taken: No Action Taken.
Wed Jun 21 20:24:30 2006 => File C:\WINNT\system32\NLNP13.exe tagged as "not-a-virus:AdWare.Win32.IGetNet". Action Taken: No Action Taken.
Wed Jun 21 20:24:15 2006 => File C:\WINNT\system32\mset_bbi8010.exe tagged as "not-a-virus:AdWare.Win32.BargainBuddy.a". Action Taken: No Action Taken.
Wed Jun 21 20:23:47 2006 => File C:\WINNT\system32\ia.dll tagged as "not-a-virus:Porn-Dialer.Win32.InstantAccess.h". Action Taken: No Action Taken.
Wed Jun 21 20:23:03 2006 => File C:\WINNT\wlxr.exe infected by "Trojan.Win32.StartPage.kp" Virus! Action Taken: No Action Taken.


:17 2006 => Total Objects Scanned: 18091
Wed Jun 21 20:27:17 2006 => Total Critical Objects: 34
Wed Jun 21 20:27:17 2006 => Total Disinfected Objects: 0
Wed Jun 21 20:27:17 2006 => Total Objects Renamed: 0
Wed Jun 21 20:27:17 2006 => Total Deleted Objects: 0
Wed Jun 21 20:27:17 2006 => Total Errors: 4
Wed Jun 21 20:27:17 2006 => Time Elapsed: 00:07:15
Wed Jun 21 20:27:17 2006 => Virus Database Date: 6/21/2006
Wed Jun 21 20:27:17 2006 => Virus Database Count: 201853

[mijaja]

Dej sem ještě log z HijackThisu. Musíme první odstavit ty aktivní šmejdy a stopnout je v registrech. Potom se dáme do těch ostatních.

[strelec3751]

Díky za pomoc ,

a tady je ten log hijacku

Logfile of HijackThis v1.99.1
Scan saved at 19:46:17, on 22.6.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\Cpqdiag\Cpqdfwag.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\SYSTEM32\dtmonx.exe
C:\WINNT\system32\Smtray.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ConMet\ConMet.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\HPDESK\HPPDDIR.exe
C:\lotus\organize\easyclip6.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.atlas.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.centrum.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F3 - REG:win.ini: load=,DTMONX.EXE
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {000E7270-CC7A-0786-8E7A-DA09B51938A6} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NetAnts.IE.Monitor - {57E91B41-F40A-11D1-B792-444553540000} - C:\Program Files\NetAnts\AntAPI.dll
O2 - BHO: CHelper Class - {99A7C4DD-B2E6-4CA0-BB6E-737A61364155} - C:\Program Files\Eurotran2002i\e11.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] Smtray.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [cpqek] C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ConMet] C:\Program Files\ConMet\ConMet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Clotusorgreg0] C:\lotus\orgreg\prtStart.exe 21 46 6 23 2006 "C:\lotus\orgreg\orgprt.exe"
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINNT\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [akcelerator.volny.cz] C:\Program Files\VOLNY\akcelerator\VOLNYakc.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
O4 - Global Startup: Asistent.lnk = C:\HPDESK\HPPDDIR.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Analyzovat LeechGetem - file://C:\Program Files\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Download LeechGetem - file://C:\Program Files\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Download s průvodcem LeechGetu - file://C:\Program Files\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zobrazit originál - C:\Program Files\VOLNY\akcelerator\original.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Eurotran - {572BF76C-9EFF-4e1e-93DE-72EF1E91B3DF} - C:\Program Files\Eurotran2002i\e11.dll
O9 - Extra 'Tools' menuitem: Eurotran - {572BF76C-9EFF-4e1e-93DE-72EF1E91B3DF} - C:\Program Files\Eurotran2002i\e11.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\lotus\organize\bandobjs.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.centrum.cz/
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FB5F37-E221-44FB-8601-2013DF0A9EC1}: NameServer = 193.165.254.9,193.165.192.9
O18 - Filter: text/html - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINNT\Cpqdiag\Cpqdfwag.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NMS Service (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR3\RpcSandraSrv.exe

[mijaja]

Takže, než to dám trochu dohromady (možná to bude až zítra) nechej zkontrolovat na Jottiscanu tyto soubory:

C:\WINNT\system32\Smtray.exe
C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
C:\HPDESK\HPPDDIR.exe
C:\lotus\organize\easyclip6.exe
C:\Program Files\NetAnts\AntAPI.dll
C:\Program Files\NetAnts\NetAnts.exe
C:\Program Files\Eurotran2002i\e11.dll
C:\lotus\orgreg\orgprt.exe
c:\lotus\organize\bandobjs.dll


Napiš jak to dopadlo, ať se pohneme dál.

Naco máš v kompu milion downloaderů - nestačí ti jeden nebo dva?
Ve Spybotu spusť i TeaTimer, jako rezidenta!

[strelec3751]

Buď zdráv,

tak jsem se konečně prokousal tím virovým scanerem, výsledky viz níže.
Postupně jsem pochopil,že horní část informace o konktertním souboru asi nebude důležitá, přesto ji zpočátku uvádím.

K těm download manažerům - podle mého názoru jsou v počítači tři, GetRight, Leech Get a NetAnts. Ten NetAnts je tam proto, že jsem pako a zapomněl jsem jej odinstalovat, což obratem napravím.

File: SMTray.exe
Status:
OK
MD5 d947bdcae614ba19927f5f7a2338729e
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Scanner Malware name
AntiVir Trojan/PSW.Lineage.ZY.3
ArcaVir X
Avast Win32:QQpass-X
AVG Antivirus PSW.Generic2.GM
BitDefender X
ClamAV X
Dr.Web Trojan.PWS.Lineage
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus Trojan-PSW.Win32.Lineage.zy
NOD32 X
Norman Virus Control X
UNA X
VirusBuster X
VBA32 Trojan-PSW.Lineage.3


File: hppddir.exe
Status:
OK
MD5 f1567453d032babf1e23c6f5a1343152
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Scanner Malware name
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web Adware.Hackersite
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Delf.g
NOD32 Win32/Adware.BHO.Delf.G application
Norman Virus Control X
UNA X
VirusBuster X
VBA32 X

File: CPQEK.exe
Status:
OK
MD5 b08876ae7e4a9b6a837e89b1b76b290a
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Scanner Malware name
AntiVir Backdoor-Server/Improg.2 backdoor
ArcaVir X
Avast Win32:Bifrose-BN
AVG Antivirus X
BitDefender Generic.Malware.SKPEVPkWk.18F085A9
ClamAV Trojan.Bifrose-4
Dr.Web BackDoor.Bifrost.21
F-Prot Antivirus Possibly a new variant of W32/Threat-HLLIM-based!Maximus
Fortinet X
Kaspersky Anti-Virus Backdoor.Win32.Bifrose.sy
NOD32 Win32/Bifrose.E
Norman Virus Control X
UNA X
VirusBuster X
VBA32 Backdoor.Win32.Bifrose.az

File: easyclip6.exe
Status:
OK
MD5 38b26509128b23fb7bb32e55b0ad78a9
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Scanner Malware name
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web Trojan.DownLoader.10622
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VirusBuster X
VBA32 X

File: AntAPI.dll
Status:
OK
MD5 f3bdaf1c0473bf2f21ce95a575116f61
Packers detected:
-
Scanner results :
stejně jako předchozí

Scanner Malware name
AntiVir X
ArcaVir Trojan.Firefly.G
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web BackDoor.FireFly
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VirusBuster X
VBA32 Backdoor.Win32.FireFly.g

File: NetAnts.exe
Status:
OK
MD5 6fdb8b5bb147c78fab46374af64065b6
Packers detected:
-
Scanner results
stejně jako předchozí

Scanner Malware name
AntiVir X
ArcaVir Heur.W32.Generic
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VirusBuster X
VBA32 X

File: e11.dll
Status:
OK
MD5 0e3e1b21ae0a65cfdde35c3012c1e333
Packers detected:
-
Scanner results :
stejně jako předchozí

Scanner Malware name
AntiVir Trojan/Dldr.Small.AXL.1
ArcaVir X
Avast X
AVG Antivirus Downloader.Generic2.DKR
BitDefender Trojan.Downloader.TT
ClamAV Trojan.Downloader.Small-1573
Dr.Web Trojan.DownLoader.10620
F-Prot Antivirus W32/Downloader.ABKJ
Fortinet X
Kaspersky Anti-Virus Trojan-Downloader.Win32.Delf.apu
NOD32 Win32/TrojanDownloader.Delf.AJD
Norman Virus Control Sandbox: W32/Downloader
UNA X
VirusBuster X
VBA32 X

File: orgprt.exe
Status:
OK
MD5 fdf01118fdc1a6149aae2df0297df13c
Packers detected:
-
Scanner results :
stejně jako předchozí

Scanner Malware name
AntiVir Worm/Alcra.B
ArcaVir Worm.Vb.An
Avast Win32:Vibpack
AVG Antivirus Worm/VB.CC
BitDefender Win32.Vb.AN@mm
ClamAV Worm.Alcan.D
Dr.Web Trojan.FakeSetup
F-Prot Antivirus W32/SillyWorm.GK
Fortinet W32/VB.AN@mm
Kaspersky Anti-Virus Worm.Win32.VB.an
NOD32 Win32/VB.D
Norman Virus Control W32/Alcra.B
UNA X
VirusBuster Worm.VB.COO!AU
VBA32 Worm.Win32.VB.a

File: bandobjs.dll
Status:
OK
MD5 fc63652d33c7e841806a57107aa9e821
Packers detected:
-
Scanner results :
stejně jako předchozí

Scanner Malware name
AntiVir Dropper/Agent.AP.2.B dropper
ArcaVir X
Avast Win32:Trojan-gen. {Other}
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet W32/Backdoor.USIRF
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VirusBuster X
VBA32 X