Virus v nod32krn.exe nebo plašák? Vyřešeno

[alenka_v_říši_divů]

ahoj nedavno sem odinstaloval Nod32 ...a zustal mi v procesech viset nod32ekr.exe ..nemůžu se ho zbavit...fix nezabírá...prostě nic..drží se tam zuby nehty a začína me dost s*át :) sem ho oskenoval a našlo to jednu věc...ale nevim oč kráčí http://www.virustotal.com/cs/analisis/2e073939b2d3bb3921cdbd180153cc4e přes tuneup skartovač se mu nechtělo....z nouzakem nemužu pracovat....díky za radu.../a total uninstaller to nevidí/...

[Reklama]

[jaro3]

to je snad krn a ne ekr.
Zastavil jsi ho v procesech a pak si zkusil smazat?
Asi to stejně takhle jednoduše nepůjde , je určitě ve službách , driverech a klíčích. Jsou na to utility na odinstalování.
http://www.nod32.nl/download/tool/nod32removal.exe
Nebo to dělám scriptem v Cf.
Musel bys dát log z HJT a potom z CF.Zkus ten odkaz nejprve.

[alenka_v_říši_divů]

jee..promin sem se spletl ..samozrejmě nod32krn.exe ... no ten CF bych asi nemohl použít...nebo alespoň ne to přetahovani scriptu..protože mi nejdou kursorem přetahovat položky...prostě jako by plocha byla zamčená...no ten soubor z tvyho linku sem stahl...a nekolikrat vyzkousel..žel furt to vypisovalo,že program nemuže najit uvedenej soubor....a kill nejde..přistup odmitnut..a kdyz to zkusim v nejakych jinych programech..tak killnout taky nejde...

[jaro3]

Stačí rozjet Combofix( a dát log),před tím vypnout ochrany, co máš za systém a proč se nedostaneš do nouz. režimu?

[alenka_v_říši_divů]

nevím čím to je..jestli pc-help "nestíhá" :) ale než odpovím,tak to někdy trvá i 15 minut...strašně pomalu se občas načítá,jiny stranky v pohodě...zde log Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:55, on 21.3.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
E:\antivir\nod32krn.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Documents and Settings\Administrator\Plocha\opera962int\opera962int\op.com
C:\WINNT\system32\taskmgr.exe
C:\WINNT\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
E:\QIP InfiumNEW\infium.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.turkojan.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SarbyxTrayClock] C:\Program Files\SarbyxTrayClock\trayclock.exe
O4 - HKCU\..\Run: [Myweather] "E:\pocasi\MyWeather.exe" /autorun
O4 - HKUS\S-1-5-21-1060284298-1606980848-1957994488-1011\..\Run: [internat.exe] internat.exe (User '?')
O4 - HKUS\S-1-5-21-1060284298-1606980848-1957994488-500\..\Run: [internat.exe] internat.exe (User '?')
O4 - HKUS\S-1-5-21-1060284298-1606980848-1957994488-500\..\Run: [Myweather] "E:\pocasi\MyWeather.exe" /autorun (User '?')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

--
End of file - 3170 bytes ///zkusim ten combofix ...mam win 2000 SP4 ... a nouzak je zničenej :) nejede tam myš..a ukazuje se asi čtvrt plochy....takže je to tak na hodinu dycky...než se pracně dostanu na přikazovou řadku a "poslepu" se dostanu na nakej program nebo nastaveni kurzoru na klavesnici....

[jaro3]

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Jede i pod win2k...

Pokud to nepůjde:
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[alenka_v_říši_divů]

bezva krn zmizel z procesu :) log ComboFix 09-03-19.02 - Administrator 21.03.2009 21:14:13.4 - NTFSx86
Spuštěný z: c:\documents and settings\Administrator\Plocha\bfoix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Nabídka Start\Programy\Turkojan
c:\documents and settings\All Users\Nabídka Start\Programy\Turkojan\Web Site.url
c:\winnt\msvrc20.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-02-21 do 2009-03-21 )))))))))))))))))))))))))))))))
.

2009-03-21 10:44 . 09-03-21 11:41 <DIR> d-a------ c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2009-03-21 09:31 . 09-03-21 09:31 <DIR> d-------- c:\program files\iii
2009-03-21 09:05 . 09-03-21 09:05 <DIR> d-------- c:\program files\IObit
2009-03-21 02:38 . 09-03-21 02:38 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Martau
2009-03-21 02:37 . 09-03-21 20:08 <DIR> d-------- c:\program files\Total Uninstall 5
2009-03-21 01:56 . 09-03-21 01:57 <DIR> d-------- c:\program files\Regino v4.5
2009-03-19 04:31 . 09-03-21 02:36 <DIR> d-------- c:\program files\WinClamAVShield
2009-03-19 02:53 . 09-03-19 03:56 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Spyware Terminator
2009-03-19 02:53 . 09-03-19 02:53 141,312 --a------ c:\winnt\system32\drivers\sp_rsdrv2.sys
2009-03-19 02:52 . 09-03-19 06:24 <DIR> d-------- c:\documents and settings\Administrator\Data aplikací\Spyware Terminator
2009-03-16 02:01 . 09-03-16 02:49 <DIR> d-------- c:\program files\0-Code Email Address Protector
2009-03-15 02:33 . 09-03-15 02:33 118 --a------ c:\winnt\Winchat.ini
2009-03-13 22:17 . 09-03-13 22:17 <DIR> d-------- c:\program files\Windows Everywhere
2009-03-13 22:17 . 09-03-13 22:17 125,440 --a------ c:\winnt\system32\fmod.dll
2009-03-13 22:17 . 09-03-13 22:17 1,423 --a------ C:\Windows Everywhere.lnk
2009-03-13 01:02 . 09-03-21 02:22 1,009,862 ---h----- c:\winnt\ShellIconCache
2009-03-12 12:43 . 09-03-12 12:44 <DIR> d-------- c:\program files\TeamViewer3
2009-03-12 12:43 . 09-03-12 15:36 <DIR> d-------- c:\documents and settings\Administrator\Data aplikací\TeamViewer
2009-03-12 12:42 . 09-03-19 04:11 <DIR> d-------- c:\documents and settings\Administrator\temp
2009-03-12 12:15 . 09-03-12 12:15 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Kaspersky Lab Setup Files
2009-03-12 07:18 . 09-03-12 07:30 <DIR> d-------- c:\program files\dosbox
2009-03-12 07:18 . 09-03-12 07:18 <DIR> d-------- c:\program files\Common Files\lightning group shared files
2009-03-12 07:18 . 09-03-12 07:18 <DIR> d-------- C:\_dosboxvirtualdisk
2009-03-12 07:01 . 09-03-12 07:05 <DIR> d-------- c:\program files\DOSBox-0.72
2009-03-09 16:49 . 09-03-09 16:54 <DIR> d-------- c:\documents and settings\Administrator\Data aplikací\Clickteam
2009-03-09 16:43 . 09-03-14 17:37 <DIR> d-------- c:\program files\AirDrop_at
2009-03-09 15:31 . 09-03-09 15:31 36,992 --a------ c:\winnt\system32\drivers\SISAGPX.SYS
2009-03-09 15:26 . 08-12-03 17:40 81,408 --a------ c:\winnt\system32\devcon_x64.exe
2009-03-09 15:26 . 02-11-14 22:32 55,808 --a------ c:\winnt\system32\devcon.exe
2009-03-07 16:58 . 09-03-07 16:59 <DIR> d-------- c:\documents and settings\Administrator\Data aplikací\pe explorer
2009-03-06 17:36 . 09-03-06 17:37 <DIR> d-------- c:\program files\SarbyxTrayClock
2009-03-06 08:46 . 09-03-06 08:46 158,208 --a------ c:\winnt\msconfig.exe
2009-03-04 21:43 . 09-03-04 21:43 <DIR> d-------- c:\program files\worldstarsoftware
2009-03-02 14:51 . 09-03-02 14:51 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\SUPERAntiSpyware.com
2009-03-02 14:51 . 09-03-02 14:51 <DIR> d-------- c:\documents and settings\Administrator\Data aplikací\SUPERAntiSpyware.com
2009-02-28 00:15 . 09-02-28 00:15 <DIR> d-------- c:\documents and settings\Administrator\Data aplikací\VitySoft
2009-02-25 00:21 . 09-02-25 00:21 <DIR> d-------- c:\documents and settings\Administrator\Data aplikací\Locktime
2009-02-24 21:15 . 09-02-24 21:15 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Locktime
2009-02-23 18:35 . 09-03-09 16:01 <DIR> d-------- c:\program files\Oberon Media
2009-02-23 18:27 . 09-02-23 18:27 <DIR> d-------- c:\program files\FLVPlayer
2009-02-22 18:19 . 09-03-09 16:03 <DIR> d-------- c:\program files\ASCII Art Generator
2009-02-21 08:07 . 02-03-01 14:17 <DIR> d-------- c:\winnt\system32\drivers\WIN2000

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-06 07:07 --------- d-----w c:\program files\Evil Player
2009-03-06 07:07 --------- d-----w c:\documents and settings\oko\Data aplikací\SlimBrowser
2009-03-06 07:07 --------- d-----w c:\documents and settings\Default User\Data aplikací\SlimBrowser
2009-03-06 07:07 --------- d-----w c:\documents and settings\Administrator\Data aplikací\SlimBrowser
2009-03-02 13:47 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-02-20 12:56 --------- d-----w c:\documents and settings\Administrator\Data aplikací\Talkback
2009-02-20 12:55 --------- d-----w c:\documents and settings\Administrator\Data aplikací\Thunderbird
2009-02-18 20:38 --------- d-----w c:\documents and settings\Administrator\Data aplikací\gtk-2.0
2009-02-18 19:51 --------- d-----w c:\program files\WinPcap
2009-02-16 14:07 118,784 ----a-w c:\winnt\GREUninstall.exe
2009-02-11 16:28 --------- d-----w c:\documents and settings\All Users\Data aplikací\Apple Computer
2009-02-07 15:06 298,104 ----a-w c:\winnt\system32\imon.dll
2009-02-06 13:58 271 ---h--w c:\program files\desktop.ini
2009-02-06 13:58 22,034 -c-h--w c:\program files\folder.htt
2009-02-04 19:20 --------- d-----w c:\program files\Trend Micro
2009-02-04 16:43 --------- d-----w c:\documents and settings\All Users\Data aplikací\SecTaskMan
2009-01-31 15:12 --------- d-----w c:\program files\Ares
2009-01-30 21:13 --------- d-----w c:\documents and settings\Administrator\Data aplikací\AltrixSoft
2009-01-30 16:06 --------- d-----w c:\program files\Apple Software Update
2009-01-30 14:19 --------- d-----w c:\program files\Common Files\InstallShield
2009-01-30 14:18 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-29 06:03 --------- d-----w c:\program files\MSXML 4.0
2009-01-28 18:28 --------- d-----w c:\documents and settings\Administrator\Data aplikací\QIP
2009-01-27 08:16 --------- d-----w c:\documents and settings\Administrator\Data aplikací\Malwarebytes
2009-01-27 08:15 --------- d-----w c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-01-23 15:08 --------- d-----w c:\documents and settings\Administrator\Data aplikací\Muvio
2009-01-16 09:47 834,048 ---h--w c:\winnt\system32\wodfamoh.dll
2009-01-08 22:46 595 ---ha-w C:\os652192.bin
2009-01-05 12:25 77,824 ----a-w c:\winnt\system32\nmapwin.exe
2009-01-05 12:25 452,096 ----a-w c:\winnt\system32\nmap.exe
2009-01-05 12:25 34,816 -c--a-w c:\winnt\system32\msiregmv.exe
2009-01-05 12:25 290,816 ----a-w c:\winnt\system32\nmapserv.exe
2009-01-05 12:23 59,904 ----a-w c:\winnt\system32\dpvsetup.exe
2009-01-05 12:23 39,936 ----a-w c:\winnt\system32\dxdllreg.exe
2009-01-05 12:23 18,944 ----a-w c:\winnt\system32\dpnsvr.exe
2009-01-05 12:23 163,840 ----a-w c:\winnt\system32\DivXCodecVersionChecker.exe
2009-01-05 12:23 114,688 ----a-w c:\winnt\system32\duninstall.exe
2009-01-05 12:21 23,040 ----a-w c:\winnt\system32\spupdsvc.exe
2009-01-05 12:10 21,504 ------w c:\winnt\system32\verclsid.exe
2009-01-05 12:03 99,328 ----a-w c:\winnt\MozillaUninstall.exe
2009-01-05 12:03 90,112 ----a-w c:\winnt\unvise32.exe
2009-01-05 12:03 73,216 ----a-w c:\winnt\ST6UNST.EXE
2009-01-05 12:03 71,680 ----a-w c:\winnt\ST5UNST.EXE
2009-01-05 12:03 57,344 ----a-w c:\winnt\uneng.exe
2009-01-05 12:03 33,280 ----a-w c:\winnt\muninst.exe
2009-01-05 12:03 303,104 ----a-w c:\winnt\Uninstall_tkexe.exe
2009-01-05 12:03 299,520 ----a-w c:\winnt\uninst.exe
2009-01-05 12:02 796,672 ----a-w c:\winnt\GPInstall.exe
2009-01-05 12:02 286,720 ----a-w c:\winnt\iun506.exe
2009-01-05 10:13 40,960 -c--a-w c:\winnt\system32\cliconfg.exe
2009-01-05 10:12 73,216 ----a-w c:\winnt\cadkasdeinst01.exe
2009-01-03 19:46 32 --sha-r c:\documents and settings\Administrator\Data aplikací\pexmodes.dat
2008-12-24 21:09 152,904 ----a-w c:\winnt\system32\vghd.scr
2008-10-18 06:17 98,304 ----a-w c:\program files\Torrentino.dat
2008-09-04 17:23 138,220 ----a-w c:\documents and settings\All Users\Data aplikací\firstlsp.reg.dat
2003-07-03 12:00 32,528 -c--a-w c:\winnt\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SarbyxTrayClock"="c:\program files\SarbyxTrayClock\trayclock.exe" [06-10-19 21:21 60928]
"Myweather"="e:\pocasi\MyWeather.exe" [09-01-22 21:51 1585152]
"internat.exe"="internat.exe" [03-07-03 13:00 20752 c:\winnt\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-07-03 13:00 111888 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [03-07-03 13:00 20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-07-03 13:00 188688]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"Email Killer"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]
06-09-01 06:49 140048 c:\winnt\system32\NWPROVAU.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"vidc.VSPX"= vspxvfw.dll
"vidc.div4"= DivXc32f.dll
"vidc.div3"= DivXc32.dll
"vidc.xvid"= xvid.dll
"msacm.l3radius"= l3codecp.acm
"msacm.divxa"= divxa32.acm
"msacm.a3d"= a3d.dll
"msacm.ogg"= ogg.dll
"msacm.vorbisenc"= vorbisenc.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TuneUp.Defrag"=3 (0x3)
"sp_rssrv"=2 (0x2)
"NOD32krn"=2 (0x2)
"nlsvc"=2 (0x2)
"dmadmin"=3 (0x3)
"CEE"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AQQ"=e:\wapste~1\AQQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Synchronization Manager"=mobsync.exe /logon
"QuickTime Task"="e:\qqqqqqqqqq\qttask.exe" -atboottime

R1 avfwot;avfwot; [x]
R1 dtd;dtd; [x]
R1 nltdi;nltdi; [x]
R1 nod32drv;nod32drv; [x]
R1 SASDIFSV;SASDIFSV; [x]
R1 SASKUTIL;SASKUTIL; [x]
R2 LF30FS;LF30FS; [x]
R3 ATE_PROCMON;ATE_PROCMON; [x]
R3 avfwim;AvFw Packet Filter Miniport; [x]
R3 L0phtPkt;L0pht NDIS 3.0 Packet Driver;c:\winnt\System32\drivers\L0phtPkt.sys [09-01-03 21:09 14676]
R3 NPF;WinPcap Packet Driver (NPF);c:\winnt\system32\drivers\NPF.sys [07-11-06 21:22 34064]
R3 NtApm;Ovladač rozhraní služby NT Apm/Legacy;c:\winnt\system32\DRIVERS\NtApm.sys [00-03-08 19:28 9136]
R3 PsSdk30;PsSdk30; [x]
R3 REGMON;REGMON; [x]
R3 SASENUM;SASENUM; [x]
R3 UfasoftSnifDriver4;Ufasoft Snif Driver v4; [x]
R4 CEE;CEE; [x]
R4 CTsvc;CommTraffic Service; [x]
R4 Give-Me-Too;Give-Me-Too Network Traffic Analyzer; [x]
R4 Intellipool Network Monitor;Intellipool Network Monitor; [x]
R4 PRTGService;PRTG Service; [x]
R4 QHBZYLZ;QHBZYLZ; [x]
R4 ShareAlarmPro;ShareAlarmPro; [x]
R4 SPF4;Sunbelt Personal Firewall 4; [x]
S0 RRamdisk;Ramdisk Driver;c:\winnt\system32\DRIVERS\rramdisk.sys [08-01-25 23:40 12288]
S1 khips;Kerio HIPS Driver;c:\winnt\system32\drivers\khips.sys [07-04-26 09:21 72624]
S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\winnt\system32\drivers\sp_rsdrv2.sys [09-03-19 02:53 141312]
S3 cm8330;C-Media CM8330 Audio Driver (WDM);c:\winnt\system32\drivers\cm8330.sys [00-02-25 15:44 23413]
S3 mirrorv3;mirrorv3;c:\winnt\system32\DRIVERS\rminiv3.sys [06-11-01 05:01 3328]
S3 openhci;Ovladač otevřeného hostitelského řadiče USB;c:\winnt\system32\DRIVERS\openhci.sys [03-06-19 12:05 24784]
S3 sb16;C-Media SB16 Driver (WDM);c:\winnt\system32\drivers\cm8330sb.sys [00-02-25 15:37 21431]
S3 SiSV;SiSV;c:\winnt\system32\DRIVERS\SiSV.sys [99-09-28 04:02 49904]
S3 TSCOMM;CommStudio Virtual Adapter by TamoSoft;c:\winnt\system32\DRIVERS\tscomm.sys [07-03-09 18:43 40232]


--- Ostatní služby/ovladače v paměti ---

*Deregistered* - Browser
*Deregistered* - Dhcp
*Deregistered* - dmio
*Deregistered* - dmload
*Deregistered* - dmserver
*Deregistered* - EFS
*Deregistered* - EventSystem
*Deregistered* - Fastfat
*Deregistered* - Fdc
*Deregistered* - Fips
*Deregistered* - Ftdisk
*Deregistered* - Gpc
*Deregistered* - Kbdclass
*Deregistered* - khips
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - mirrorv3
*Deregistered* - mnmdd
*Deregistered* - Modem
*Deregistered* - MountMgr
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - Mup
*Deregistered* - Nbf
*Deregistered* - NDIS
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - NwlnkIpx
*Deregistered* - NwlnkNb
*Deregistered* - NwlnkSpx
*Deregistered* - Parallel
*Deregistered* - Parport
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - RasAcd
*Deregistered* - Rasl2tp
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RpcSs
*Deregistered* - RRamdisk
*Deregistered* - SamSs
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - serenum
*Deregistered* - Schedule
*Deregistered* - sp_rsdrv2
*Deregistered* - Spooler
*Deregistered* - sptd
*Deregistered* - Srv
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TSCOMM
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - WinMgmt
*Deregistered* - Wmi
*Deregistered* - WS2IFSL
*Deregistered* - wuauserv
.
Obsah adresáře 'Naplánované úlohy'

2009-03-21 c:\winnt\Tasks\1-Click Maintenance.job
- e:\tuneup\SystemOptimizer.exe [07-08-18 13:39 ]

2009-03-21 c:\winnt\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [07-01-10 15:42 ]

2009-03-21 c:\winnt\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Administrator\Local Settings\Data aplikac []

2009-03-21 c:\winnt\Tasks\RegCure Program Check.job
- e:\regcure\RegCure.exe [07-08-02 08:20 ]

2009-03-21 c:\winnt\Tasks\RegCure.job
- e:\regcure\RegCure.exe [07-08-02 08:20 ]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.turkojan.com/
mWindow Title = Microsoft Internet Explorer
LSP: c:\winnt\system32\imon.dll
LSP: %SystemRoot%\system32\msafd.dll
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\wwzplp71.default\
FF - plugin: e:\qqqqqqqqqq\Plugins\npqtplugin.dll
FF - plugin: e:\qqqqqqqqqq\Plugins\npqtplugin2.dll
FF - plugin: e:\qqqqqqqqqq\Plugins\npqtplugin3.dll
FF - plugin: e:\qqqqqqqqqq\Plugins\npqtplugin4.dll
FF - plugin: e:\qqqqqqqqqq\Plugins\npqtplugin5.dll
FF - plugin: e:\qqqqqqqqqq\Plugins\npqtplugin6.dll
FF - plugin: e:\qqqqqqqqqq\Plugins\npqtplugin7.dll

---- NASTAVENÍ FIREFOXU ----
e:\firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-21 21:42:14
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\PSSdk21]
"ImagePath"="\??\c:\winnt\system32\Drivers\HNPsSdk.drv"

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\PsSdk30]
"ImagePath"="\??\c:\winnt\system32\Drivers\PsSdk30.drv"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1060284298-1606980848-1957994488-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{404B94DE-A5AB-D354-DDD7-D7514887F396}*]
"iagmkhmmhfenklojga"=hex:6a,61,6b,64,6f,63,6c,64,6b,65,67,67,62,6f,69,63,6e,70,
6c,70,00,00
"haalagedhohdlkfa"=hex:6a,61,6e,64,64,65,63,66,6a,63,6e,66,62,66,6c,62,6a,6b,
6e,6b,00,00
"abnmocdhkojofjkdjflhpnemiekincpfgp"=hex:65,61,69,66,6a,6a,67,6e,6e,68,00,00
"magmkhmmhfenklojgafhpcpckh"=hex:66,61,6c,64,65,64,66,65,6f,66,69,6a,00,00

[HKEY_LOCAL_MACHINE\software\Xanthic\{001706C5-92AF-BAD2-5C4C-4F4DC4DEC48D}*_]
"fr"="078E63655B514A"
"lr"="078E606C5B514A"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(236)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(932)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\SHDOCVW.DLL
.
Celkový čas: 2009-03-21 22:00:36 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-03-21 21:00:05
ComboFix2.txt 2009-03-07 18:58:51
ComboFix3.txt 2009-03-07 12:17:06
ComboFix4.txt 2009-02-06 12:34:33

Před spuštěním: 188 729 344
Po spuštění: 162,660,352

Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
337
mám to označit za vyřešený? .... //jen mě napadlo,vidiš tam nejakou interakci mezi CF a nod32krn.exe ?

[jaro3]

Ještě nic neoznačuj.
Takže to dočistíme, plocha Ti snad už funguje , kdyby ne , tak budeme muset použít něco jiného.
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

DirLook::
c:\program files\iii
c:\documents and settings\All Users\Data aplikací\Martau

File::
c:\winnt\system32\imon.dll
c:\program files\desktop.ini
c:\program files\folder.htt
c:\winnt\system32\wodfamoh.dll
C:\os652192.bin
c:\winnt\unvise32.exe
c:\winnt\Tasks\AppleSoftwareUpdate.job
c:\program files\Apple Software Update\SoftwareUpdate.exe
c:\winnt\system32\Drivers\PsSdk30.drv

Driver::
nod32drv
PsSdk30


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Toto znáš :
c:\program files\iii
c:\documents and settings\All Users\Data aplikací\Martau ?
Dal jsem příkaz se tam kouknout..

[alenka_v_říši_divů]

ahoj...tak plocha se rozjela..nestacil sem se divit :) pak sem to docistil a pohodička.....akorat sem jeste pouzil jeden nastroj na optimalizaci pc a netu...a nejak mi to pobouralo registry...takze net neumel prekladat nazvy sitovych adres....akorat ajsko jelo,kdyz sem nastavil proxy s IP adresou...tak sem OS preinstaloval...jinak díky :)

[jaro3]

Nemáš zač...Někdy se stane , při větším počtu nákaz a nestabilitě systému , že to klekne.