PC-HELP.CZ

Zdravím Vás a obracím se s prosbou o pomoc. Mám harddisk rozdělen na C a D a disk D mi píše, že je potřeba tento naformátovat a nezobrazí se mi žádná data, která tam mám uložena. Provedl jsem kontrolu na viry a prostřednictvím Malwarebytes Anti Malwayre(ničím jiným se mi disk D ani nepodařilo překontrolovat) zjistil jsem že tam jsou 2 soubory u kterých mi vyskakuje trojan.downloader, tedy nějaký vir. Jak se dá toto prosím vyřešit. Předem velmi děkuji za odpověď. Martin.

vlož sem log z Malwarebytes Anti Malwayre a log z HJT:
viewtopic.php?f=70&t=5119

nevím jestli to posílám dobře, ale z malwarebytes anti malware je to Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4133

Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

24.5.2010 6:16:44
mbam-log-2010-05-24 (06-16-44).txt

Typ skenu: Úplný sken (C:\|D:\|)
Skenované objekty: 145845
Uplynulý čas: 1 hodina(y), 27 minuta(y), 50 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 2

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
D:\Download\install_flash_player.exe (Trojan.Downloader) -> No action taken.
D:\Download\TubeViewer.ver.6.exe (Trojan.Downloader) -> No action taken.

a z hjt je to:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 6:14:59, on 24.5.2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\iXi Tools Software\Driver Updater Pro\DriverUpdaterPro.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.nasi.ova.czf:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Download\acrobat\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Program Files\iXi Tools Software\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{160AE1E6-D18B-441A-84F1-010F65024626}: NameServer = 172.23.76.1,10.153.195.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{160AE1E6-D18B-441A-84F1-010F65024626}: NameServer = 172.23.76.1,10.153.195.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{160AE1E6-D18B-441A-84F1-010F65024626}: NameServer = 172.23.76.1,10.153.195.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/MARTIN~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 5085 bytes

Windows XP SP1
--doporučuji doinstalovat aspoň SP2.

Odinstaluj ( pokud najdeš):
AskSearch
AskBar
Toolbar: &Rádio
Ask Toolbar


Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod



Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit nový log z MbAM.

ahoj. provedl jsem vše dle tvé rady a tady je ten nový log z MbAM. pořád to ale nefunguje...

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4133

Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

24.5.2010 20:59:33
mbam-log-2010-05-24 (20-59-33).txt

Typ skenu: Úplný sken (C:\|D:\|)
Skenované objekty: 143596
Uplynulý čas: 1 hodina(y), 27 minuta(y), 48 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 2

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
D:\Download\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Download\TubeViewer.ver.6.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.

ahoj, udělal jsem to a tady je ten log.

ComboFix 10-05-24.03 - Martin Žídek 25.05.2010 6:37.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.351.212 [GMT 2:00]
Spuštěný z: C:\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\AskSearch\bin\DefaultSearch.dll
c:\windows\system32\SHELLLNK.TLB
c:\windows\system32\sstray.exe

c:\windows\system32\qmgr.dll . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-04-25 do 2010-05-25 )))))))))))))))))))))))))))))))
.

2010-05-25 13:32 . 2010-05-25 13:33 12320 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-05-25 04:15 . 2010-05-25 04:15 3696466 ----a-r- C:\ComboFix.exe
2010-05-24 19:49 . 2010-05-24 19:49 -------- d-----w- c:\program files\Common Files\ParetoLogic
2010-05-24 19:49 . 2010-05-24 19:49 -------- d-----w- c:\program files\ParetoLogic
2010-05-24 19:48 . 2010-05-24 19:48 11747656 ----a-w- C:\Pareto_AV_Setup_RW(2).exe
2010-05-24 19:48 . 2010-05-24 19:48 11747656 ----a-w- C:\Pareto_AV_Setup_RW.exe
2010-05-24 17:23 . 2010-05-24 17:23 50688 ----a-w- C:\ATF-Cleaner.exe
2010-05-24 04:14 . 2010-05-24 04:14 1402880 ----a-w- C:\HiJackThis.msi
2010-05-23 18:54 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-23 18:54 . 2010-04-29 13:39 19288 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-23 18:54 . 2010-05-23 18:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-23 18:53 . 2010-05-23 18:53 6153376 ----a-w- C:\mbam-setup.exe
2010-05-23 18:08 . 2010-05-23 18:08 2672312 ----a-w- C:\esetsmartinstaller_csy.exe
2010-05-23 17:49 . 2010-05-23 17:50 39502856 ----a-w- C:\setupcze(2).exe
2010-05-23 17:49 . 2010-05-24 17:08 -------- d-----w- c:\program files\Alwil Software
2010-05-23 17:47 . 2010-05-23 17:48 39502856 ----a-w- C:\setupcze.exe
2010-05-23 17:42 . 2010-05-24 04:14 -------- d-----w- c:\program files\Trend Micro
2010-05-23 17:28 . 2010-05-23 17:28 -------- d-----w- c:\windows\system32\wbem\Repository
2010-05-23 17:19 . 2010-05-23 17:19 -------- d-----w- c:\program files\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-25 13:32 . 2010-05-25 13:32 1056 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2010-05-25 13:32 . 2010-05-25 13:32 32 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2010-05-25 13:32 . 2010-05-25 13:32 32 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-05-02 17:12 . 2009-07-19 15:54 -------- d-----w- c:\program files\uTorrent
2010-04-16 16:12 . 2010-04-16 16:12 -------- d-----w- c:\program files\Common Files\Ahead
2010-04-16 16:12 . 2010-04-16 16:12 -------- d-----w- c:\program files\Ahead
2010-04-14 14:21 . 2010-04-14 14:21 -------- d-----w- c:\program files\TomTom DesktopSuite
2010-04-06 18:28 . 2010-04-06 18:27 -------- d-----w- c:\program files\Common Files\Adobe
2010-03-31 17:33 . 2010-01-12 20:37 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-30 16:14 . 2010-03-30 16:14 -------- d-----w- c:\program files\Realtek AC97
2010-03-30 15:49 . 2010-03-30 15:49 -------- d-----w- c:\program files\iXi Tools Software
2010-03-30 15:41 . 2009-07-17 15:48 -------- d-----w- c:\program files\Common Files\InstallShield
2010-03-30 15:36 . 2010-03-30 15:36 -------- d-----w- c:\program files\C-Media
2010-03-30 07:41 . 2010-01-28 09:47 -------- d-----w- c:\program files\Fotolab
2010-03-28 16:05 . 2010-03-28 16:05 -------- d-----w- c:\program files\Winamp
2010-03-28 13:56 . 2001-10-25 12:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2010-03-28 13:56 . 2001-10-25 12:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2010-03-27 09:32 . 2010-03-27 09:31 -------- d-----w- c:\program files\EasyFrom
2010-03-27 09:32 . 2010-03-27 09:32 -------- d-----w- c:\program files\Microsoft Visual FoxPro OLE DB Provider
2010-03-23 17:58 . 2009-06-30 18:56 737280 ----a-w- c:\windows\iun6002.exe
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-04-29 321328]
"DriverUpdaterPro"="c:\program files\iXi Tools Software\Driver Updater Pro\DriverUpdaterPro.exe" [2010-03-29 4353024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-07-12 7626752]
"nwiz"="nwiz.exe" [2006-07-12 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-07-12 86016]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"ParetoLogic Anti-Virus PLUS"="c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" [2010-05-25 2355]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /A:* /L:Czech /KBD:2

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

R2 ZeppelinService;plasservice;c:\program files\Common Files\ParetoLogic\PLAS\plasservice.exe [14.1.2010 11:27 587216]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - KLIF
.
Obsah adresáře 'Naplánované úlohy'

2010-05-25 c:\windows\Tasks\ParetoLogic Anti-Virus PLUS.job
- c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.exe [2010-01-14 09:28]

2010-05-24 c:\windows\Tasks\ParetoLogic Anti-Virus PLUS_dbsummary.job
- c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.exe [2010-01-14 09:28]

2010-05-24 c:\windows\Tasks\ParetoLogic Update Version2.job
- c:\program files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe [2008-02-22 10:25]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uInternet Settings,ProxyOverride = <local>
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\windows\System32\INetHTTPFilter.dll
TCP: {160AE1E6-D18B-441A-84F1-010F65024626} = 172.23.76.1,10.153.195.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Martin Žídek\Data aplikací\Mozilla\Firefox\Profiles\5aojw4um.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.seznam.cz
FF - prefs.js: network.proxy.ftp - proxy.nasi.ova.czf
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - proxy.nasi.ova.czf
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - proxy.nasi.ova.czf
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - proxy.nasi.ova.czf
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - proxy.nasi.ova.czf
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 1

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKLM-Run-nForce Tray Options - sstray.exe
HKLM-Run-Adobe Reader Speed Launcher - d:\download\acrobat\Reader\Reader_sl.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-25 15:32
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(564)
c:\windows\System32\INetHTTPFilter.dll
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3364)
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\10\1029\OWCI10.DLL
c:\windows\System32\MSCTF.dll
c:\windows\System32\MLANG.dll
c:\windows\System32\mshtml.dll
c:\windows\System32\msimtf.dll
c:\windows\System32\MSLS31.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\System32\nvsvc32.exe
c:\windows\System32\RUNDLL32.EXE
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Celkový čas: 2010-05-25 15:34:51 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-05-25 13:34

Před spuštěním: 288 403 456
Po spuštění: 311 250 944

winxpsp1_cs_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

- - End Of File - - 7686CB234EB148667884F15AC45F6442

Jako antivir používáš ParetoLogic Anti-Virus PLUS?
Máš tam zbytky po Avastu, Kaspersky,ESET ...

Používáš proxy servery??

právě že tomu moc nerozumím, tak možná nic, vždycky, když mám nějaký problém, tak pak scháním antivir, aby ten případný vir zničil. Mi se podobný problém stal už v minulosti a asi týden jsem stahoval nejrůznější programy na ničení a pak jsem stáhl nějaký, který ten virus fakt zničil. ale už zaboha nevím, odkud jsem to stáhl a co to vlastně bylo. takže ochrana prakticky nula..

ZKus odinstalovat ParetoLogic Anti-Virus PLUS
Pokud nepůjde , odmažeme..

Start-spustit-napiš: notepad ,do něho vlož tento celý text:



uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

Potřebuji vědět , zdy Ty nebo někdo jiný nastavoval ty proxy servery.

já ani nevím, co to proxy server je, takže zřejmě nastaveny nejsou. jinak jsem zkusil odinstalovat ten paretologic Anti-Virus Plus. nejdříve to nešlo a napodruhé už jo. text ze souboru je Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 5406-C5B7.

Výpis adresáře C:\WINDOWS\ERDNT\cache

20.09.2002 19:04 221 184 qmgr.dll
1 souborů, 221 184 bajtů

Výpis adresáře C:\WINDOWS\SoftwareDistribution\Download\45f513082f50da6f864d191cc212adb8\sp1qfe

02.07.2004 00:10 360 448 qmgr.dll
1 souborů, 360 448 bajtů

Výpis adresáře C:\WINDOWS\system32

20.09.2002 19:04 221 184 qmgr.dll
1 souborů, 221 184 bajtů

Máš tohoto providera:
http://www.nasi.cz/index.php?page=TechnickaPodpora ??
Tak tam máš nastavení proxy pro Mozzilu FF....

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT