Napadený PC - Combofix

[Tholus]

Ahoj, bratrovo PC napadl nějaký vir, který se tvářil jako antivir, takže ho bratr hezky nechal "proskenovat" a až když se to rozjelo, tak mne zavolal. Nešlo se tam skoro hnout, tak jsem zkopíroval od sebe Combofix a Hijackthis a spustil Combofix, až doběhl, tak se PC tvářil v pořádku, projel jsem Hijackthisem a teď bych od Vás potřeboval zkontrolovat logy... Pak jsem mu tam ještě navíc nainstaloval Spybot a teď se mu to tam skenuje. PC už vypadá v pořádku, ale nefunguje mu Google Chrome - někdy se ani nenačte a někdy se načte, ale nejde v něm prohlížet stránky - pořád se načítají. Ostatní prohlížeče mu jdou (IE, FF). Předem díky.

ComboFix 10-09-25.07 - Kuba 26.09.2010 15:03:27.1.4 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3326.2975 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Kuba\LOCALS~1\Temp\SystemDriver.exe
c:\documents and settings\All Users\Data aplikací\f64f7f
c:\documents and settings\All Users\Data aplikací\f64f7f\BackUp\hamachi.lnk
c:\documents and settings\All Users\Data aplikací\f64f7f\BackUp\OpenOffice.org 3.2.lnk
c:\documents and settings\All Users\Data aplikací\f64f7f\BackUp\Xfire.lnk
c:\documents and settings\All Users\Data aplikací\f64f7f\MSf64_231.exe
c:\documents and settings\All Users\Data aplikací\f64f7f\MSS.ico
c:\documents and settings\All Users\Data aplikací\f64f7f\MSSSys\vd952342.bd
c:\documents and settings\Kuba\Data aplikací\My Security Shield
c:\documents and settings\Kuba\Data aplikací\My Security Shield\Instructions.ini
c:\documents and settings\Kuba\Local Settings\Tempkiqs2993GT.exe
c:\documents and settings\Kuba\Local Settings\Tempnfxy5602NF.exe
c:\documents and settings\Kuba\Local Settings\Tempnmvy5391NM.exe
c:\documents and settings\Kuba\Local Settings\Tempopgp1907DL.exe
c:\documents and settings\Kuba\Local Settings\Tempphpr6228PH.exe
c:\documents and settings\Kuba\Local Settings\Tempqneo6659QN.exe
c:\documents and settings\Kuba\Local Settings\Tempubak8031UB.exe
c:\documents and settings\Kuba\Local Settings\Tempxhhl5835OQ.exe
c:\documents and settings\Kuba\Plocha\My Security Shield.lnk
c:\documents and settings\Kuba\Recent\eb.exe
c:\documents and settings\Kuba\Recent\snl2w.dll
c:\windows\jusched.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-08-26 do 2010-09-26 )))))))))))))))))))))))))))))))
.

2010-09-25 19:55 . 2010-09-25 19:57 -------- dc-h--w- c:\windows\ie8
2010-09-25 19:55 . 2010-09-25 19:57 -------- d--h--w- c:\windows\msdownld.tmp
2010-09-25 17:19 . 2010-09-25 17:19 -------- d-----w- C:\Text
2010-09-25 16:37 . 2010-09-25 16:37 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-09-25 16:12 . 2010-09-25 16:12 -------- d-----w- C:\ddsds
2010-09-22 16:16 . 2010-09-25 09:24 -------- d-----w- c:\program files\Steam
2010-09-22 16:14 . 2010-09-22 16:14 -------- d-----w- c:\program files\iSteam
2010-09-19 16:18 . 2010-09-19 16:18 -------- d-----w- c:\windows\system32\URTTEMP
2010-09-14 06:19 . 2010-09-14 06:19 -------- d-----w- c:\program files\Electronic Arts
2010-09-13 17:31 . 2010-09-14 06:27 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe
2010-09-07 13:51 . 2010-09-08 15:24 -------- d-----w- c:\program files\DRM-AC2-OFFLINE.Server-v0.4
2010-09-07 13:22 . 2010-09-08 15:23 -------- d-----w- c:\program files\Ubisoft
2010-09-05 10:31 . 2010-09-05 10:31 271360 ----a-w- c:\windows\system32\drivers\atksgt.sys
2010-09-05 10:31 . 2010-09-05 10:31 18048 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2010-09-01 18:29 . 2010-09-03 12:18 -------- d-----w- C:\Accs
2010-08-28 15:46 . 2010-08-28 16:05 -------- d-----w- C:\na vihozeni
2010-08-28 09:34 . 2010-08-28 09:34 -------- d-----w- C:\skouska
2010-08-28 09:09 . 2010-08-28 09:09 -------- d-----w- c:\program files\Swords and Sandals 3 Multiplae Ultratus
2010-08-28 07:57 . 2010-08-28 08:36 -------- d-----w- c:\program files\SwordsSandals3

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-26 13:06 . 2001-10-25 14:00 82462 ----a-w- c:\windows\system32\perfc005.dat
2010-09-26 13:06 . 2001-10-25 14:00 437062 ----a-w- c:\windows\system32\perfh005.dat
2010-09-26 13:02 . 2010-01-16 08:54 16608 ----a-w- c:\windows\gdrv.sys
2010-09-26 07:06 . 2010-01-17 06:39 -------- d-----w- c:\program files\Google
2010-09-25 08:43 . 2010-02-25 13:37 -------- d-----w- c:\program files\uTorrent
2010-09-15 11:27 . 2010-03-02 15:59 139128 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-09-15 11:27 . 2010-03-02 15:59 215128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-09-14 06:27 . 2010-03-02 15:59 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-09-08 15:15 . 2010-01-16 08:55 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-05 10:52 . 2010-01-16 08:55 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-05 10:48 . 2010-03-04 11:41 -------- d-----w- c:\program files\CCleaner
2010-08-29 18:17 . 2010-08-27 13:08 -------- d-----w- c:\program files\Cheat Engine
2010-08-23 15:51 . 2010-08-23 15:51 -------- d-----w- c:\program files\OpenOffice.org 3
2010-08-23 14:58 . 2010-08-23 14:57 -------- d-----w- c:\program files\WMV
2010-08-18 06:24 . 2010-02-20 15:59 -------- d-----w- c:\program files\NCSoft
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Kuba\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" [2010-01-31 135664]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 98304]
"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2007-05-15 204800]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 2756488]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Kuba\Nabˇdka Start\Programy\Po spuçtŘnˇ\
hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2010-2-8 624416]
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-6-7 1195520]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Hry\\Metin2_CZ\\metin2.bin"=
"c:\\Hry\\Metin2_CZ\\metin2client.bin"=
"c:\\Program Files\\NCsoft\\Exteel (US)\\System\\Exteel.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Hry\\Battlefield 2\\BF2.exe"=
"c:\\Hry\\BioShock 2\\SP\\Builds\\Binaries\\Bioshock2.exe"=
"c:\\Hry\\BioShock 2\\MP\\Builds\\Binaries\\Bioshock2.exe"=
"c:\\Hry\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"c:\\Hry\\World of Warcraft\\Launcher.exe"=
"c:\\Far Cry 2\\bin\\FarCry2.exe"=
"c:\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Hry\\Battlefield 2142\\BF2142.exe"=
"c:\\Hry\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=
"c:\\Hry\\Lotr\\Conquest.exe"=
"c:\\Program Files\\DRM-AC2-OFFLINE.Server-v0.4\\server.exe"=
"c:\\Program Files\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\AssassinsCreedIIGame.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\AssassinsCreedII.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\UPlayBrowser.exe"=
"c:\\Program Files\\Electronic Arts\\Battlefield Bad Company 2\\BFBC2Updater.exe"=
"c:\\Hry\\The Lord of the Rings Online\\lotroclient.exe"=
"c:\\Program Files\\Steam\\steamapps\\tobo456\\team fortress 2\\hl2.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [4.3.2010 12:55 162512]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [4.3.2010 12:55 19024]
R2 ES lite Service;ES lite Service for program management.;c:\program files\Gigabyte\EasySaver\essvr.exe [16.1.2010 10:55 68136]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31.1.2010 19:10 135664]
S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
S3 LLRING0;LLRING0;c:\program files\FortressMU\FortressMU 2010\fortressmu 2010 muguard\MuGuard\llck1.sys [12.4.2010 15:07 2688]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.2.2010 14:36 691696]
.
Obsah adresáře 'Naplánované úlohy'

2010-09-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 17:10]

2010-09-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 17:10]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/?utm_source=tbr_centrum
uSearchAssistant = hxxp://www.google.com/ie
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-My Security Shield - c:\documents and settings\All Users\Data aplikací\f64f7f\MSf64_231.exe
ActiveSetup-{83313942-b21e-454e-b5ae-d01992a63ad5} - c:\docume~1\Kuba\LOCALS~1\Temp\n3yvzgrsqwSv.exe
AddRemove-Counter-Strike: Source - c:\program files\Counter-Strike Source\Uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-26 15:11
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5F6C76]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9f7fcb8
\Driver\atapi -> atapi.sys @ 0xb9f11852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9e1dbb0
PacketIndicateHandler -> NDIS.sys @ 0xb9e2aa21
SendHandler -> NDIS.sys @ 0xb9e0887b
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-583907252-179605362-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:7c,44,d3,46,ff,92,42,77,ea,49,86,9a,0d,fd,09,53,07,9c,18,60,cf,
85,3b,47,18,84,88,ec,c5,41,80,ee,92,a4,7a,af,a8,a6,5f,97,2e,70,2e,6b,7f,cf,\
"rkeysecu"=hex:23,60,6e,a5,cc,22,2f,8b,dc,ec,21,05,c1,86,bd,36

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\:őwjY
*]
"DisplayName"="???\16?\11\09"
"DeviceDesc"="???\16?\11\09"
"ProviderName"="???\11?\17?\11??"
"MFG"="???????"
"ReinstallString"=".10.1000.8"
"DeviceInstanceIds"=multi:"d:\\chipset\\7-ser\\xp\\sbdrv\\smbus\\smbusati.inf\00"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Celkový čas: 2010-09-26 15:14:38
ComboFix-quarantined-files.txt 2010-09-26 13:14

Před spuštěním: Volných bajtů: 134 305 030 144
Po spuštění: Volných bajtů: 134 283 317 248

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - A90588CB9D8C0BBED9C453F9640BD3A6

---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:46, on 26.9.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Kuba\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrator\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/?utm_source=tbr_centrum
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://search.centrum.cz/index.php?tool ... trum-1.0.0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Kuba\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3633007859
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: Služba Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4974 bytes

[Reklama]

[Seky97]

Combofix nemáš vůbec zapínat bez dohledu ODBORNÍKA !

[Tholus]

To je snad moje věc, co můžu zapnout. Pokud nevíš, co s tím, nebo mi radit nechceš, nemusíš sem vůbec psát, já čekám na někoho, kdo mi poradí. Navíc jsem postupoval podle http://www.bleepingcomputer.com/combofi ... t-combofix, takže klid.

[Seky97]

Hned druhý odstavec.

"Nepoužívejte ComboFix, aniž by vás o to požádal zkušený rádce. Nesnažte se jednat na vlastní pěst, pečlivě postupujte podle pokynů v tomto návodu a respektujte rady osoby, která byla s možnostmi ComboFixu náležitě obeznámena a která vám s odvirováváním počítače pomáhá. ComboFix je mocný nástroj, jehož nesprávné užití může vést k problémům s fungováním vašeho počítače."

[jaro3]

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\program files\FortressMU\FortressMU 2010\fortressmu 2010 muguard\MuGuard\llck1.sys

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/40 , nebo 1/40. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

Znáš program MuGuard ??

[Tholus]

Program MuGuard znám, je to ochrana proti hackerům pro hru MU-Online.
http://www.virustotal.com/file-scan/rep ... 1285519724

[jaro3]

Já to tam nechám , ale nákazu to ukazuje...

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\windows\system32\perfc005.dat
c:\windows\system32\perfh005.dat


Driver::
EagleXNt
Npggsvc

Folder::
c:\windows\msdownld.tmp

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

R3 - URLSearchHook: (no name) - - (no file)

Pak nový log z HJT+ info (PC , Chrome atd.).

[Tholus]

Takže - udělal jsem ten soubor pro CF, hodil ho na program CF, CF se spustil, proběhla kontrola - resetlo to PC, ale po přihlášení na uživatele se zobrazí jen plocha + kurzor myši, se kterým jde hýbat. Čekal jsem cca 10-15 minut (PC je to rychlý, 4 jádro, 4GB RAM) - nic, tak jsem PC resetl a to samé... Nevíš náhodou, co s tím?

[jaro3]

zkus to ještě jednou , předtím restartuj PC,

[Tholus]

PC se správně spustí jen v nouzovém režimu, mám to udělat znovu v něm?

[jaro3]

Jo , zkus to v nouz. režimu. Jak , že se správně spouští jen v nouzáku ? Popiš to.

//píšeš , že máš 4GB RAM a máš OS WinXP (32bit.) , to je zbytečný , na to bys potřeboval 64bit. systém , jinak je neuplatníš..

[Tholus]

Chtěl jsem odepsat přímo z jeho PC, ale nešlo to tam odeslat, jakoby vypadl net. PC se dnes zapnul a naběhl OS i bez nouzového režimu. Program MuGuard jsem kompletně smazal i s hrou. Zas to tam začalo stahovat ten "antivirus," ale já to odkřížkoval. R3 - URLSearchHook: (no name) - - (no file) mi už HJT nenašel. XP je tam jen prozatím, máme v plánu W7. Přikládám logy.

ComboFix 10-09-25.07 - James 26.09.2010 20:15:51.3.4 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3326.2964 [GMT 2:00]
Spuštěný z: c:\documents and settings\James\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\James\Plocha\CFScript.txt
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows\system32\perfc005.dat"
"c:\windows\system32\perfh005.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\msdownld.tmp
c:\windows\system32\perfc005.dat
c:\windows\system32\perfh005.dat

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EAGLEXNT
-------\Service_EagleXNt
-------\Service_npggsvc


((((((((((((((((((((((((( Soubory vytvořené od 2010-08-27 do 2010-09-27 )))))))))))))))))))))))))))))))
.

2010-09-26 14:21 . 2010-09-26 14:23 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-26 14:10 . 2010-09-26 14:10 0 ----a-w- c:\windows\nsreg.dat
2010-09-26 14:09 . 2010-09-26 14:51 -------- d-----w- C:\_Tom
2010-09-26 14:05 . 2010-09-26 14:05 -------- d-sh--w- c:\documents and settings\James\IECompatCache
2010-09-26 14:05 . 2010-09-26 14:05 -------- d-sh--w- c:\documents and settings\James\PrivacIE
2010-09-25 19:55 . 2010-09-25 19:57 -------- dc-h--w- c:\windows\ie8
2010-09-25 16:37 . 2010-09-25 16:37 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-09-22 16:16 . 2010-09-25 09:24 -------- d-----w- c:\program files\Steam
2010-09-19 16:18 . 2010-09-19 16:18 -------- d-----w- c:\windows\system32\URTTEMP
2010-09-14 06:19 . 2010-09-14 06:19 -------- d-----w- c:\program files\Electronic Arts
2010-09-13 17:31 . 2010-09-14 06:27 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe
2010-09-07 13:51 . 2010-09-08 15:24 -------- d-----w- c:\program files\DRM-AC2-OFFLINE.Server-v0.4
2010-09-07 13:22 . 2010-09-08 15:23 -------- d-----w- c:\program files\Ubisoft
2010-09-05 10:31 . 2010-09-05 10:31 271360 ----a-w- c:\windows\system32\drivers\atksgt.sys
2010-09-05 10:31 . 2010-09-05 10:31 18048 ----a-w- c:\windows\system32\drivers\lirsgt.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-27 06:22 . 2010-09-26 18:33 4724 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2010-09-27 06:21 . 2010-01-16 08:54 16608 ----a-w- c:\windows\gdrv.sys
2010-09-25 08:43 . 2010-02-25 13:37 -------- d-----w- c:\program files\uTorrent
2010-09-15 11:27 . 2010-03-02 15:59 139128 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-09-15 11:27 . 2010-03-02 15:59 215128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-09-14 06:27 . 2010-03-02 15:59 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-09-08 15:15 . 2010-01-16 08:55 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-05 10:52 . 2010-01-16 08:55 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-05 10:48 . 2010-03-04 11:41 -------- d-----w- c:\program files\CCleaner
2010-08-23 15:51 . 2010-08-23 15:51 -------- d-----w- c:\program files\OpenOffice.org 3
2010-08-23 14:58 . 2010-08-23 14:57 -------- d-----w- c:\program files\WMV
2010-08-18 06:24 . 2010-02-20 15:59 -------- d-----w- c:\program files\NCSoft
.

((((((((((((((((((((((((((((( SnapShot@2010-09-26_13.12.36 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-26 18:28 . 2010-09-26 18:28 16384 c:\windows\Temp\Perflib_Perfdata_7a4.dat
+ 2010-09-26 18:13 . 2010-09-26 18:13 16384 c:\windows\Temp\Perflib_Perfdata_4a4.dat
+ 2010-09-27 06:21 . 2010-09-27 06:21 16384 c:\windows\Temp\Perflib_Perfdata_350.dat
+ 2001-10-25 14:00 . 2010-09-27 06:22 71002 c:\windows\system32\perfc009.dat
- 2001-10-25 14:00 . 2010-09-26 13:06 71002 c:\windows\system32\perfc009.dat
+ 2001-10-25 14:00 . 2010-09-27 06:22 440684 c:\windows\system32\perfh009.dat
- 2001-10-25 14:00 . 2010-09-26 13:06 440684 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 98304]
"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2007-05-15 204800]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 2756488]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Hry\\Metin2_CZ\\metin2.bin"=
"c:\\Hry\\Metin2_CZ\\metin2client.bin"=
"c:\\Program Files\\NCsoft\\Exteel (US)\\System\\Exteel.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Hry\\Battlefield 2\\BF2.exe"=
"c:\\Hry\\BioShock 2\\SP\\Builds\\Binaries\\Bioshock2.exe"=
"c:\\Hry\\BioShock 2\\MP\\Builds\\Binaries\\Bioshock2.exe"=
"c:\\Hry\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"c:\\Hry\\World of Warcraft\\Launcher.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Hry\\Battlefield 2142\\BF2142.exe"=
"c:\\Hry\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Hry\\Lotr\\Conquest.exe"=
"c:\\Program Files\\DRM-AC2-OFFLINE.Server-v0.4\\server.exe"=
"c:\\Program Files\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\AssassinsCreedIIGame.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\AssassinsCreedII.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\UPlayBrowser.exe"=
"c:\\Program Files\\Electronic Arts\\Battlefield Bad Company 2\\BFBC2Updater.exe"=
"c:\\Hry\\The Lord of the Rings Online\\lotroclient.exe"=
"c:\\Program Files\\Steam\\steamapps\\tobo456\\team fortress 2\\hl2.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [4.3.2010 12:55 162512]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [4.3.2010 12:55 19024]
R2 ES lite Service;ES lite Service for program management.;c:\program files\Gigabyte\EasySaver\essvr.exe [16.1.2010 10:55 68136]
S2 gupdate;Služba Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 LLRING0;LLRING0;\??\c:\program files\FortressMU\FortressMU 2010\fortressmu 2010 muguard\MuGuard\llck1.sys --> c:\program files\FortressMU\FortressMU 2010\fortressmu 2010 muguard\MuGuard\llck1.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.2.2010 14:36 691696]
.
.
------- Doplňkový sken -------
.
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\James\Data aplikací\Mozilla\Firefox\Profiles\seuqzfkd.default\
FF - prefs.js: browser.startup.homepage - http://www.google.com
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************
skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory:

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\:őwjY
*]
"DisplayName"="???\16?\11\09"
"DeviceDesc"="???\16?\11\09"
"ProviderName"="???\11?\17?\11??"
"MFG"="???????"
"ReinstallString"=".10.1000.8"
"DeviceInstanceIds"=multi:"d:\\chipset\\7-ser\\xp\\sbdrv\\smbus\\smbusati.inf\00"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll

- - - - - - - > 'explorer.exe'(1348)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\RTHDCPL.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Celkový čas: 2010-09-27 08:26:51 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-09-27 06:26
ComboFix2.txt 2010-09-26 15:38
ComboFix3.txt 2010-09-26 13:14

Před spuštěním: Volných bajtů: 149 596 848 128
Po spuštění: Volných bajtů: 149 450 166 272

- - End Of File - - F40561457A53B7F68A25444B1AB8B21E

---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:27:13, on 27.9.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
c:\Program Files\Steam\Steam.exe
C:\Documents and Settings\James\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://search.centrum.cz/index.php?tool ... trum-1.0.0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: (no name) - {D5D47440-0750-463D-BAEF-A47D02414806} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3633007859
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: Služba Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4564 bytes