Prosím o kontrolu logu - často mi PC zatuhne. Nevím zda daný problém souvisí s virem či nějakou havětí přesto dávám log.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:02:19, on 9.4.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AVG\AVG9\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgfws9.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/skinit/icq/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3D3CCE-D4C6-45B6-A85C-952672CC26EB}: NameServer = 10.0.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: AVG Firewall (avgfws9) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgfws9.exe
O23 - Service: AVG9IDSAgent (AVGIDSAgent) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Unknown owner - C:\WINDOWS\system32\sfrem02.exe (file missing)
--
End of file - 4290 bytes
Prosím o kontrolu logu - časté zatuhnutí PC Vyřešeno
-
alenka_v_říši_divů
- Level 6
- Příspěvky: 3201
- Registrován: únor 09
- Bydliště: Brno
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu logu - časté zatuhnutí PC
Jak se to zatuhnutí projevuje? Nebylo by od věci prověřit paměti Memtestem.
Vypni případně IE a fixni:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
FrontLine Drivers Auto Removal službu vypni, zakaž (start/spustit services.msc)
Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.
Vypni případně IE a fixni:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
FrontLine Drivers Auto Removal službu vypni, zakaž (start/spustit services.msc)
Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.
Re: Prosím o kontrolu logu - časté zatuhnutí PC
Takže provedl jsem co jsem měl. Výsledky skenu viz níže. Zatuhnutí je nepravidelné, někdy po 5 minutách, někdy to jede i několik hodin bez problému. Je to při práci s myší, kdy kurzor zustane nehybný a aplikaci např. opera nejde nijak ukončit, nejde se ani dostat do správce uloh abych zrušil daný proces. Možný je pouze manuální restart počítače.
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Verze databáze: 3970
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
9.4.2010 12:27:48
mbam-log-2010-04-09 (12-27-48).txt
Typ skenu: Rychlý sken
Skenované objekty: 106851
Uplynulý čas: 7 minuta(y), 10 sekunda(y)
Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 0
Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)
Infikované soubory:
(Žádné škodlivé položky nebyly zjištěny)
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Verze databáze: 3970
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
9.4.2010 12:27:48
mbam-log-2010-04-09 (12-27-48).txt
Typ skenu: Rychlý sken
Skenované objekty: 106851
Uplynulý čas: 7 minuta(y), 10 sekunda(y)
Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 0
Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)
Infikované soubory:
(Žádné škodlivé položky nebyly zjištěny)
-
alenka_v_říši_divů
- Level 6
- Příspěvky: 3201
- Registrován: únor 09
- Bydliště: Brno
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu logu - časté zatuhnutí PC
Nepomůže-li očista, asi bude vhodné založit téma v sekci HW. Leda by byl problém v AVG.
Vypni rez. ochranu AVG
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.
Vypni rez. ochranu AVG
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.
Re: Prosím o kontrolu logu - časté zatuhnutí PC
Zde je výpis. buhužel případná další komunikace bude možná až po 22hod.
ComboFix 10-04-08.02 - Administrator 09.04.2010 13:14:58.23.1 - x86
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-09 do 2010-04-09 )))))))))))))))))))))))))))))))
.
2010-04-02 13:34 . 2010-04-02 13:34 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-02 11:36 . 2010-04-05 08:27 -------- d-----w- C:\Paradise
2010-03-28 13:03 . 2010-03-28 13:11 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-15 18:21 . 2010-03-15 18:21 -------- d-----w- c:\program files\Lamer
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-09 10:50 . 2008-12-18 15:07 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-02 12:44 . 2010-02-22 10:29 -------- d-----w- c:\program files\Ubisoft
2010-04-01 16:33 . 2010-02-13 20:09 -------- d-----w- c:\program files\TopCD
2010-03-30 14:44 . 2009-08-27 11:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-29 22:46 . 2009-08-27 11:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-08-27 11:16 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-28 19:03 . 2009-12-28 08:27 -------- d-----w- c:\program files\MotoGP2
2010-03-28 13:11 . 2009-08-05 17:50 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-28 13:11 . 2009-08-05 17:50 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-28 12:42 . 2008-12-21 08:19 -------- d-----w- c:\program files\Activision
2010-03-28 06:49 . 2001-09-20 12:00 97578 ----a-w- c:\windows\system32\perfc005.dat
2010-03-28 06:49 . 2001-09-20 12:00 466408 ----a-w- c:\windows\system32\perfh005.dat
2010-03-27 17:25 . 2008-12-18 14:11 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-26 11:14 . 2009-09-06 17:42 -------- d-----w- c:\program files\Opera
2010-03-14 16:54 . 2010-03-09 10:54 -------- d-----w- c:\program files\Crashday
2010-03-11 12:36 . 2004-08-17 13:49 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:36 . 2004-08-17 13:49 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:36 . 2004-08-17 13:49 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 13:50 . 2009-09-10 09:18 -------- d-----w- c:\program files\uTorrent
2010-03-09 11:42 . 2008-12-18 16:22 -------- d-----w- c:\program files\Google
2010-03-09 11:13 . 2010-03-09 10:59 -------- d-----w- c:\program files\JoWooD
2010-03-09 11:01 . 2010-03-09 11:01 -------- d-----w- c:\program files\ZOO Digital Publishing
2010-03-09 10:46 . 2010-02-03 14:20 -------- d-----w- c:\program files\Electronic Arts
2010-03-08 11:18 . 2010-01-30 18:24 -------- d-----w- c:\program files\ATI
2010-03-08 07:44 . 2010-02-04 19:21 -------- d-----w- c:\program files\MagicISO
2010-03-07 06:40 . 2008-12-18 15:44 -------- d-----w- c:\program files\VS Revo Group
2010-03-06 11:52 . 2010-03-06 11:33 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-06 11:52 . 2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-06 11:52 . 2010-03-06 11:33 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 25096 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2010-03-06 11:52 . 2010-03-06 11:33 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2010-03-06 11:52 . 2010-03-06 11:33 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2010-03-06 11:52 . 2010-03-06 11:33 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 52872 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2010-03-06 11:33 . 2010-03-06 11:33 -------- d-----w- c:\program files\AVG
2010-03-04 12:15 . 2010-03-04 12:15 -------- d-----w- c:\program files\THQ
2010-02-28 07:48 . 2010-02-28 07:48 -------- d-----w- c:\program files\Empire Interactive
2010-02-21 19:48 . 2009-09-10 09:58 -------- d-----w- c:\program files\IObit
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-18 16:35 . 2010-02-18 13:42 45056 ----a-w- c:\windows\NCUNINST.EXE
2010-02-18 13:42 . 2010-02-18 13:42 -------- d-----w- c:\program files\Common Files\SWF Studio
2010-02-14 17:19 . 2009-01-05 16:30 -------- d-----w- c:\program files\The Learning Company
2010-02-04 09:01 . 2010-02-13 20:09 74072 ----a-w- c:\windows\system32\XAPOFX1_4.dll
2010-02-04 09:01 . 2010-02-13 20:09 528216 ----a-w- c:\windows\system32\XAudio2_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 238936 ----a-w- c:\windows\system32\xactengine3_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 22360 ----a-w- c:\windows\system32\X3DAudio1_7.dll
2010-02-03 04:52 . 2008-08-21 04:52 4605952 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalrt.dll
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalcl.dll
2010-02-03 04:10 . 2010-01-30 18:03 3633152 ----a-w- c:\windows\system32\aticaldd.dll
2010-02-03 04:07 . 2010-01-30 18:24 311296 ----a-w- c:\windows\system32\atiiiexx.dll
2010-02-03 04:02 . 2010-01-30 18:03 14188544 ----a-w- c:\windows\system32\atioglxx.dll
2010-02-03 03:50 . 2010-01-30 18:03 3566048 ----a-w- c:\windows\system32\ati3duag.dll
2010-02-03 03:40 . 2010-01-30 18:24 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-02-03 03:39 . 2010-01-30 18:03 301568 ----a-w- c:\windows\system32\ati2dvag.dll
2010-02-03 03:35 . 2010-01-30 18:03 2176640 ----a-w- c:\windows\system32\ativvaxx.dll
2010-02-03 03:34 . 2010-01-30 18:24 887724 ----a-w- c:\windows\system32\ativva6x.dat
2010-02-03 03:34 . 2010-01-30 18:24 3 ----a-w- c:\windows\system32\ativva5x.dat
2010-02-03 03:32 . 2010-01-30 18:03 397312 ----a-w- c:\windows\system32\atiok3x2.dll
2010-02-03 03:23 . 2009-12-21 18:58 208896 ----a-w- c:\windows\system32\atipdlxx.dll
2010-02-03 03:23 . 2010-01-30 18:03 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2010-02-03 03:23 . 2010-01-30 18:03 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2010-02-03 03:23 . 2009-12-21 18:58 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-02-03 03:22 . 2010-01-30 18:03 159744 ----a-w- c:\windows\system32\ati2evxx.dll
2010-02-03 03:21 . 2009-12-21 18:58 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2010-02-03 03:19 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2010-02-03 03:19 . 2010-03-08 11:18 143360 ----a-w- c:\windows\system32\atiapfxx.exe
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\atimpc32.dll
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\amdpcom32.dll
2010-02-03 03:17 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-02-03 03:15 . 2010-01-30 18:03 565248 ----a-w- c:\windows\system32\atikvmag.dll
2010-02-03 03:12 . 2010-01-30 18:03 180224 ----a-w- c:\windows\system32\atiadlxx.dll
2010-02-03 03:12 . 2010-01-30 18:03 17408 ----a-w- c:\windows\system32\atitvo32.dll
2010-02-03 03:06 . 2010-01-30 18:03 638976 ----a-w- c:\windows\system32\ati2cqag.dll
2009-11-16 06:52 . 2009-11-15 20:39 6024 --sha-w- c:\windows\system32\sys_drv.dat
2009-11-16 06:52 . 2009-11-15 20:39 5020 --sha-w- c:\windows\system32\sys_drv_2.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [6.3.2010 13:33 25096]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.3.2010 13:33 52872]
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [5.2.2009 19:18 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [5.2.2009 19:18 5248]
R0 sfdrv02;FrontLine Environment Driver (v2);c:\windows\system32\drivers\sfdrv02.sys [11.9.2006 13:57 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:\windows\system32\drivers\sfsync05.sys [11.8.2006 18:09 59776]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.3.2010 13:33 216200]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.3.2010 13:33 242696]
R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [8.9.2009 22:25 95592]
R2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [6.3.2010 13:52 916760]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.3.2010 13:52 308064]
R2 avgfws9;AVG Firewall;c:\program files\AVG\AVG9\avgfws9.exe [6.3.2010 13:52 2325816]
R2 AVGIDSAgent;AVG9IDSAgent;c:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [6.3.2010 13:52 5888008]
R3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
R3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [6.3.2010 13:33 122376]
R3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [6.3.2010 13:33 30216]
R3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [6.3.2010 13:33 26120]
R3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\DynCal.sys [7.11.2007 20:15 12928]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [14.9.2009 16:04 91856]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S4 sfrem02;FrontLine Drivers Auto Removal (v2);c:\windows\system32\sfrem02.exe svc --> c:\windows\system32\sfrem02.exe svc [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.12.2008 23:28 691696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Obsah adresáře 'Naplánované úlohy'
2010-04-06 c:\windows\Tasks\AWC Update.job
- c:\program files\IObit\Advanced SystemCare 3\IObitUpdate.exe [2009-09-10 11:38]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/skinit/icq/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {5D3D3CCE-D4C6-45B6-A85C-952672CC26EB} = 10.0.0.1
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 13:24
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x878991F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75e0f28
\Driver\ACPI -> ACPI.sys @ 0xf744dcb8
\Driver\atapi -> atapi.sys @ 0xf73ba852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7285bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7292a21
SendHandler -> NDIS.sys @ 0xf727087b
user & kernel MBR OK
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
- - - - - - - > 'explorer.exe'(3872)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2010-04-09 13:29:53 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-09 11:29
Před spuštěním: Volných bajtů: 35 570 130 944
Po spuštění: Volných bajtů: 35 520 040 960
Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - ADB10DF56B64D148D00C570CEDC6FAC4
ComboFix 10-04-08.02 - Administrator 09.04.2010 13:14:58.23.1 - x86
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-09 do 2010-04-09 )))))))))))))))))))))))))))))))
.
2010-04-02 13:34 . 2010-04-02 13:34 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-02 11:36 . 2010-04-05 08:27 -------- d-----w- C:\Paradise
2010-03-28 13:03 . 2010-03-28 13:11 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-15 18:21 . 2010-03-15 18:21 -------- d-----w- c:\program files\Lamer
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-09 10:50 . 2008-12-18 15:07 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-02 12:44 . 2010-02-22 10:29 -------- d-----w- c:\program files\Ubisoft
2010-04-01 16:33 . 2010-02-13 20:09 -------- d-----w- c:\program files\TopCD
2010-03-30 14:44 . 2009-08-27 11:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-29 22:46 . 2009-08-27 11:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-08-27 11:16 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-28 19:03 . 2009-12-28 08:27 -------- d-----w- c:\program files\MotoGP2
2010-03-28 13:11 . 2009-08-05 17:50 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-28 13:11 . 2009-08-05 17:50 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-28 12:42 . 2008-12-21 08:19 -------- d-----w- c:\program files\Activision
2010-03-28 06:49 . 2001-09-20 12:00 97578 ----a-w- c:\windows\system32\perfc005.dat
2010-03-28 06:49 . 2001-09-20 12:00 466408 ----a-w- c:\windows\system32\perfh005.dat
2010-03-27 17:25 . 2008-12-18 14:11 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-26 11:14 . 2009-09-06 17:42 -------- d-----w- c:\program files\Opera
2010-03-14 16:54 . 2010-03-09 10:54 -------- d-----w- c:\program files\Crashday
2010-03-11 12:36 . 2004-08-17 13:49 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:36 . 2004-08-17 13:49 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:36 . 2004-08-17 13:49 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 13:50 . 2009-09-10 09:18 -------- d-----w- c:\program files\uTorrent
2010-03-09 11:42 . 2008-12-18 16:22 -------- d-----w- c:\program files\Google
2010-03-09 11:13 . 2010-03-09 10:59 -------- d-----w- c:\program files\JoWooD
2010-03-09 11:01 . 2010-03-09 11:01 -------- d-----w- c:\program files\ZOO Digital Publishing
2010-03-09 10:46 . 2010-02-03 14:20 -------- d-----w- c:\program files\Electronic Arts
2010-03-08 11:18 . 2010-01-30 18:24 -------- d-----w- c:\program files\ATI
2010-03-08 07:44 . 2010-02-04 19:21 -------- d-----w- c:\program files\MagicISO
2010-03-07 06:40 . 2008-12-18 15:44 -------- d-----w- c:\program files\VS Revo Group
2010-03-06 11:52 . 2010-03-06 11:33 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-06 11:52 . 2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-06 11:52 . 2010-03-06 11:33 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 25096 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2010-03-06 11:52 . 2010-03-06 11:33 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2010-03-06 11:52 . 2010-03-06 11:33 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2010-03-06 11:52 . 2010-03-06 11:33 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 52872 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2010-03-06 11:33 . 2010-03-06 11:33 -------- d-----w- c:\program files\AVG
2010-03-04 12:15 . 2010-03-04 12:15 -------- d-----w- c:\program files\THQ
2010-02-28 07:48 . 2010-02-28 07:48 -------- d-----w- c:\program files\Empire Interactive
2010-02-21 19:48 . 2009-09-10 09:58 -------- d-----w- c:\program files\IObit
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-18 16:35 . 2010-02-18 13:42 45056 ----a-w- c:\windows\NCUNINST.EXE
2010-02-18 13:42 . 2010-02-18 13:42 -------- d-----w- c:\program files\Common Files\SWF Studio
2010-02-14 17:19 . 2009-01-05 16:30 -------- d-----w- c:\program files\The Learning Company
2010-02-04 09:01 . 2010-02-13 20:09 74072 ----a-w- c:\windows\system32\XAPOFX1_4.dll
2010-02-04 09:01 . 2010-02-13 20:09 528216 ----a-w- c:\windows\system32\XAudio2_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 238936 ----a-w- c:\windows\system32\xactengine3_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 22360 ----a-w- c:\windows\system32\X3DAudio1_7.dll
2010-02-03 04:52 . 2008-08-21 04:52 4605952 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalrt.dll
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalcl.dll
2010-02-03 04:10 . 2010-01-30 18:03 3633152 ----a-w- c:\windows\system32\aticaldd.dll
2010-02-03 04:07 . 2010-01-30 18:24 311296 ----a-w- c:\windows\system32\atiiiexx.dll
2010-02-03 04:02 . 2010-01-30 18:03 14188544 ----a-w- c:\windows\system32\atioglxx.dll
2010-02-03 03:50 . 2010-01-30 18:03 3566048 ----a-w- c:\windows\system32\ati3duag.dll
2010-02-03 03:40 . 2010-01-30 18:24 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-02-03 03:39 . 2010-01-30 18:03 301568 ----a-w- c:\windows\system32\ati2dvag.dll
2010-02-03 03:35 . 2010-01-30 18:03 2176640 ----a-w- c:\windows\system32\ativvaxx.dll
2010-02-03 03:34 . 2010-01-30 18:24 887724 ----a-w- c:\windows\system32\ativva6x.dat
2010-02-03 03:34 . 2010-01-30 18:24 3 ----a-w- c:\windows\system32\ativva5x.dat
2010-02-03 03:32 . 2010-01-30 18:03 397312 ----a-w- c:\windows\system32\atiok3x2.dll
2010-02-03 03:23 . 2009-12-21 18:58 208896 ----a-w- c:\windows\system32\atipdlxx.dll
2010-02-03 03:23 . 2010-01-30 18:03 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2010-02-03 03:23 . 2010-01-30 18:03 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2010-02-03 03:23 . 2009-12-21 18:58 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-02-03 03:22 . 2010-01-30 18:03 159744 ----a-w- c:\windows\system32\ati2evxx.dll
2010-02-03 03:21 . 2009-12-21 18:58 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2010-02-03 03:19 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2010-02-03 03:19 . 2010-03-08 11:18 143360 ----a-w- c:\windows\system32\atiapfxx.exe
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\atimpc32.dll
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\amdpcom32.dll
2010-02-03 03:17 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-02-03 03:15 . 2010-01-30 18:03 565248 ----a-w- c:\windows\system32\atikvmag.dll
2010-02-03 03:12 . 2010-01-30 18:03 180224 ----a-w- c:\windows\system32\atiadlxx.dll
2010-02-03 03:12 . 2010-01-30 18:03 17408 ----a-w- c:\windows\system32\atitvo32.dll
2010-02-03 03:06 . 2010-01-30 18:03 638976 ----a-w- c:\windows\system32\ati2cqag.dll
2009-11-16 06:52 . 2009-11-15 20:39 6024 --sha-w- c:\windows\system32\sys_drv.dat
2009-11-16 06:52 . 2009-11-15 20:39 5020 --sha-w- c:\windows\system32\sys_drv_2.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [6.3.2010 13:33 25096]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.3.2010 13:33 52872]
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [5.2.2009 19:18 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [5.2.2009 19:18 5248]
R0 sfdrv02;FrontLine Environment Driver (v2);c:\windows\system32\drivers\sfdrv02.sys [11.9.2006 13:57 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:\windows\system32\drivers\sfsync05.sys [11.8.2006 18:09 59776]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.3.2010 13:33 216200]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.3.2010 13:33 242696]
R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [8.9.2009 22:25 95592]
R2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [6.3.2010 13:52 916760]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.3.2010 13:52 308064]
R2 avgfws9;AVG Firewall;c:\program files\AVG\AVG9\avgfws9.exe [6.3.2010 13:52 2325816]
R2 AVGIDSAgent;AVG9IDSAgent;c:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [6.3.2010 13:52 5888008]
R3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
R3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [6.3.2010 13:33 122376]
R3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [6.3.2010 13:33 30216]
R3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [6.3.2010 13:33 26120]
R3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\DynCal.sys [7.11.2007 20:15 12928]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [14.9.2009 16:04 91856]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S4 sfrem02;FrontLine Drivers Auto Removal (v2);c:\windows\system32\sfrem02.exe svc --> c:\windows\system32\sfrem02.exe svc [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.12.2008 23:28 691696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Obsah adresáře 'Naplánované úlohy'
2010-04-06 c:\windows\Tasks\AWC Update.job
- c:\program files\IObit\Advanced SystemCare 3\IObitUpdate.exe [2009-09-10 11:38]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/skinit/icq/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {5D3D3CCE-D4C6-45B6-A85C-952672CC26EB} = 10.0.0.1
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 13:24
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x878991F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75e0f28
\Driver\ACPI -> ACPI.sys @ 0xf744dcb8
\Driver\atapi -> atapi.sys @ 0xf73ba852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7285bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7292a21
SendHandler -> NDIS.sys @ 0xf727087b
user & kernel MBR OK
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
- - - - - - - > 'explorer.exe'(3872)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2010-04-09 13:29:53 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-09 11:29
Před spuštěním: Volných bajtů: 35 570 130 944
Po spuštění: Volných bajtů: 35 520 040 960
Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - ADB10DF56B64D148D00C570CEDC6FAC4
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43295
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu logu - časté zatuhnutí PC
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE
Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE
Kód: Vybrat vše
KillAll::
File::
c:\windows\system32\sys_drv.dat
c:\windows\system32\sys_drv_2.dat
Driver::
S3 VBoxNetFlt
sfrem02
FrontLine Drivers Auto Removal (v2)
VBoxNetFlt Service
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
DDS::
uStart Page = hxxp://www.centrum.cz/skinit/icq/Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Prosím o kontrolu logu - časté zatuhnutí PC
Mám problém. Combo fix se rozjede po překrytí skriptem pouze v nouzovém režimu. Pak zjistí rotkit ,sám restartuje počítač.Ten se už ale rozjede v normálním režimu a combo fix čeká na spustění ale nespustí se (čekal jsem asi 40 min).
Přikládám alespon log Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:11, on 9.4.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgfws9.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/skinit/icq/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3D3CCE-D4C6-45B6-A85C-952672CC26EB}: NameServer = 10.0.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: AVG Firewall (avgfws9) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgfws9.exe
O23 - Service: AVG9IDSAgent (AVGIDSAgent) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
--
End of file - 3794 bytes
Přikládám alespon log Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:11, on 9.4.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgfws9.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/skinit/icq/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3D3CCE-D4C6-45B6-A85C-952672CC26EB}: NameServer = 10.0.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: AVG Firewall (avgfws9) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgfws9.exe
O23 - Service: AVG9IDSAgent (AVGIDSAgent) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
--
End of file - 3794 bytes
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43295
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu logu - časté zatuhnutí PC
Stáhni si TDSSKiller
Na svojí plochu.Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.
Stáhni si program OTM (by OldTimer)
a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE
- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.
Pak zase log z CF (bez scriptu).
Na svojí plochu.Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.
Stáhni si program OTM (by OldTimer)
a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE
Kód: Vybrat vše
:Processes
explorer.exe
:Services
S3 VBoxNetFlt
sfrem02
FrontLine Drivers Auto Removal (v2)
VBoxNetFlt Service
:Reg
:Files
c:\windows\system32\sys_drv.dat
c:\windows\system32\sys_drv_2.dat
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.
Pak zase log z CF (bez scriptu).
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Prosím o kontrolu logu - časté zatuhnutí PC
Omlouvám se za spoždění a přerušení komunikace. On mi navíc klekl ventilátorek od chipsetu a až do ted jsem byl bez PC a tudíž offline.A to byla asi i jedna s příčin zatuhávání PC.
Jinak vše jsem provedl dle popisu.A v nouzáku se mi podařilo i rozjet ten ComboFix.
Zde jsou logy:
5:57:35:328 3592 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
15:57:35:328 3592 ================================================================================
15:57:35:328 3592 SystemInfo:
15:57:35:328 3592 OS Version: 5.1.2600 ServicePack: 3.0
15:57:35:328 3592 Product type: Workstation
15:57:35:328 3592 ComputerName: 4500717F2B5C41C
15:57:35:328 3592 UserName: Administrator
15:57:35:328 3592 Windows directory: C:\WINDOWS
15:57:35:328 3592 Processor architecture: Intel x86
15:57:35:328 3592 Number of processors: 1
15:57:35:328 3592 Page size: 0x1000
15:57:35:328 3592 Boot type: Normal boot
15:57:35:328 3592 ================================================================================
15:57:35:328 3592 UnloadDriverW: NtUnloadDriver error 2
15:57:35:328 3592 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
15:57:35:343 3592 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
15:57:35:343 3592 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
15:57:35:343 3592 wfopen_ex: Trying to KLMD file open
15:57:35:343 3592 wfopen_ex: File opened ok (Flags 2)
15:57:35:343 3592 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
15:57:35:343 3592 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
15:57:35:343 3592 wfopen_ex: Trying to KLMD file open
15:57:35:343 3592 wfopen_ex: File opened ok (Flags 2)
15:57:35:343 3592 Initialize success
15:57:35:343 3592
15:57:35:343 3592 Scanning Services ...
15:57:35:375 3592 Raw services enum returned 376 services
15:57:35:390 3592
15:57:35:390 3592 Scanning Kernel memory ...
15:57:35:390 3592 Devices to scan: 2
15:57:35:390 3592
15:57:35:390 3592 Driver Name: Disk
15:57:35:390 3592 IRP_MJ_CREATE : F75E2BB0
15:57:35:390 3592 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
15:57:35:390 3592 IRP_MJ_CLOSE : F75E2BB0
15:57:35:390 3592 IRP_MJ_READ : F75DCD1F
15:57:35:390 3592 IRP_MJ_WRITE : F75DCD1F
15:57:35:390 3592 IRP_MJ_QUERY_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_SET_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_EA : 804F355A
15:57:35:390 3592 IRP_MJ_SET_EA : 804F355A
15:57:35:390 3592 IRP_MJ_FLUSH_BUFFERS : F75DD2E2
15:57:35:390 3592 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_DIRECTORY_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_DEVICE_CONTROL : F75DD3BB
15:57:35:390 3592 IRP_MJ_INTERNAL_DEVICE_CONTROL : F75E0F28
15:57:35:390 3592 IRP_MJ_SHUTDOWN : F75DD2E2
15:57:35:390 3592 IRP_MJ_LOCK_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_CLEANUP : 804F355A
15:57:35:390 3592 IRP_MJ_CREATE_MAILSLOT : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_SECURITY : 804F355A
15:57:35:390 3592 IRP_MJ_SET_SECURITY : 804F355A
15:57:35:390 3592 IRP_MJ_POWER : F75DEC82
15:57:35:390 3592 IRP_MJ_SYSTEM_CONTROL : F75E399E
15:57:35:390 3592 IRP_MJ_DEVICE_CHANGE : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_QUOTA : 804F355A
15:57:35:390 3592 IRP_MJ_SET_QUOTA : 804F355A
15:57:35:406 3592 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
15:57:35:406 3592
15:57:35:406 3592 Driver Name: nvatabus
15:57:35:406 3592 IRP_MJ_CREATE : 8787E660
15:57:35:406 3592 IRP_MJ_CREATE_NAMED_PIPE : 8787E660
15:57:35:406 3592 IRP_MJ_CLOSE : 8787E660
15:57:35:406 3592 IRP_MJ_READ : 8787E660
15:57:35:406 3592 IRP_MJ_WRITE : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_SET_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_EA : 8787E660
15:57:35:406 3592 IRP_MJ_SET_EA : 8787E660
15:57:35:406 3592 IRP_MJ_FLUSH_BUFFERS : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_VOLUME_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_SET_VOLUME_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_DIRECTORY_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_FILE_SYSTEM_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_DEVICE_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_SHUTDOWN : 8787E660
15:57:35:406 3592 IRP_MJ_LOCK_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_CLEANUP : 8787E660
15:57:35:406 3592 IRP_MJ_CREATE_MAILSLOT : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_SECURITY : 8787E660
15:57:35:406 3592 IRP_MJ_SET_SECURITY : 8787E660
15:57:35:406 3592 IRP_MJ_POWER : 8787E660
15:57:35:406 3592 IRP_MJ_SYSTEM_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_DEVICE_CHANGE : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_QUOTA : 8787E660
15:57:35:406 3592 IRP_MJ_SET_QUOTA : 8787E660
15:57:35:468 3592 C:\WINDOWS\system32\DRIVERS\nvatabus.sys - Verdict: 1
15:57:35:468 3592
15:57:35:468 3592 Completed
15:57:35:468 3592
15:57:35:468 3592 Results:
15:57:35:468 3592 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592 File objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592
15:57:35:468 3592 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
15:57:35:468 3592 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
15:57:35:468 3592 KLMD(ARK) unloaded successfully
a log.č.2:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Error: No service named S3 VBoxNetFlt was found to stop!
Service\Driver key S3 VBoxNetFlt not found.
Service sfrem02 stopped successfully!
Service sfrem02 deleted successfully!
Error: No service named FrontLine Drivers Auto Removal (v2) was found to stop!
Service\Driver key FrontLine Drivers Auto Removal (v2) not found.
Error: No service named VBoxNetFlt Service was found to stop!
Service\Driver key VBoxNetFlt Service not found.
========== REGISTRY ==========
========== FILES ==========
c:\windows\system32\sys_drv.dat moved successfully.
c:\windows\system32\sys_drv_2.dat moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 178000 bytes
->Temporary Internet Files folder emptied: 64042 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1790 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41044 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: PC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 23948 bytes
Total Files Cleaned = 1,00 mb
OTM by OldTimer - Version 3.1.10.1 log created on 04142010_160150
A log CF:
ComboFix 10-04-09.01 - Administrator 14.04.2010 18:21:34.25.1 - x86 MINIMAL
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.809 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\CFScript.txt
AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
FILE ::
"c:\windows\system32\sys_drv.dat"
"c:\windows\system32\sys_drv_2.dat"
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-14 do 2010-04-14 )))))))))))))))))))))))))))))))
.
2010-04-14 14:01 . 2010-04-14 14:01 -------- d-----w- C:\_OTM
2010-04-02 13:34 . 2010-04-02 13:34 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-02 11:36 . 2010-04-05 08:27 -------- d-----w- C:\Paradise
2010-03-28 13:03 . 2010-03-28 13:11 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-15 18:21 . 2010-03-15 18:21 -------- d-----w- c:\program files\Lamer
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-14 15:44 . 2008-12-18 15:07 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-02 12:44 . 2010-02-22 10:29 -------- d-----w- c:\program files\Ubisoft
2010-04-01 16:33 . 2010-02-13 20:09 -------- d-----w- c:\program files\TopCD
2010-03-30 14:44 . 2009-08-27 11:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-29 22:46 . 2009-08-27 11:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-08-27 11:16 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-28 19:03 . 2009-12-28 08:27 -------- d-----w- c:\program files\MotoGP2
2010-03-28 13:11 . 2009-08-05 17:50 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-28 13:11 . 2009-08-05 17:50 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-28 12:42 . 2008-12-21 08:19 -------- d-----w- c:\program files\Activision
2010-03-28 06:49 . 2001-09-20 12:00 97578 ----a-w- c:\windows\system32\perfc005.dat
2010-03-28 06:49 . 2001-09-20 12:00 466408 ----a-w- c:\windows\system32\perfh005.dat
2010-03-27 17:25 . 2008-12-18 14:11 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-26 11:14 . 2009-09-06 17:42 -------- d-----w- c:\program files\Opera
2010-03-14 16:54 . 2010-03-09 10:54 -------- d-----w- c:\program files\Crashday
2010-03-11 12:36 . 2004-08-17 13:49 832512 ------w- c:\windows\system32\wininet.dll
2010-03-11 12:36 . 2004-08-17 13:49 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:36 . 2004-08-17 13:49 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 13:50 . 2009-09-10 09:18 -------- d-----w- c:\program files\uTorrent
2010-03-09 11:42 . 2008-12-18 16:22 -------- d-----w- c:\program files\Google
2010-03-09 11:13 . 2010-03-09 10:59 -------- d-----w- c:\program files\JoWooD
2010-03-09 11:01 . 2010-03-09 11:01 -------- d-----w- c:\program files\ZOO Digital Publishing
2010-03-09 10:46 . 2010-02-03 14:20 -------- d-----w- c:\program files\Electronic Arts
2010-03-08 11:18 . 2010-01-30 18:24 -------- d-----w- c:\program files\ATI
2010-03-08 07:44 . 2010-02-04 19:21 -------- d-----w- c:\program files\MagicISO
2010-03-07 06:40 . 2008-12-18 15:44 -------- d-----w- c:\program files\VS Revo Group
2010-03-06 11:52 . 2010-03-06 11:33 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-06 11:52 . 2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-06 11:52 . 2010-03-06 11:33 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 25096 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2010-03-06 11:52 . 2010-03-06 11:33 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2010-03-06 11:52 . 2010-03-06 11:33 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2010-03-06 11:52 . 2010-03-06 11:33 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 52872 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2010-03-06 11:33 . 2010-03-06 11:33 -------- d-----w- c:\program files\AVG
2010-03-04 12:15 . 2010-03-04 12:15 -------- d-----w- c:\program files\THQ
2010-02-28 07:48 . 2010-02-28 07:48 -------- d-----w- c:\program files\Empire Interactive
2010-02-21 19:48 . 2009-09-10 09:58 -------- d-----w- c:\program files\IObit
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-18 16:35 . 2010-02-18 13:42 45056 ----a-w- c:\windows\NCUNINST.EXE
2010-02-18 13:42 . 2010-02-18 13:42 -------- d-----w- c:\program files\Common Files\SWF Studio
2010-02-14 17:19 . 2009-01-05 16:30 -------- d-----w- c:\program files\The Learning Company
2010-02-04 09:01 . 2010-02-13 20:09 74072 ----a-w- c:\windows\system32\XAPOFX1_4.dll
2010-02-04 09:01 . 2010-02-13 20:09 528216 ----a-w- c:\windows\system32\XAudio2_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 238936 ----a-w- c:\windows\system32\xactengine3_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 22360 ----a-w- c:\windows\system32\X3DAudio1_7.dll
2010-02-03 04:52 . 2008-08-21 04:52 4605952 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalrt.dll
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalcl.dll
2010-02-03 04:10 . 2010-01-30 18:03 3633152 ----a-w- c:\windows\system32\aticaldd.dll
2010-02-03 04:07 . 2010-01-30 18:24 311296 ----a-w- c:\windows\system32\atiiiexx.dll
2010-02-03 04:02 . 2010-01-30 18:03 14188544 ----a-w- c:\windows\system32\atioglxx.dll
2010-02-03 03:50 . 2010-01-30 18:03 3566048 ----a-w- c:\windows\system32\ati3duag.dll
2010-02-03 03:40 . 2010-01-30 18:24 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-02-03 03:39 . 2010-01-30 18:03 301568 ----a-w- c:\windows\system32\ati2dvag.dll
2010-02-03 03:35 . 2010-01-30 18:03 2176640 ----a-w- c:\windows\system32\ativvaxx.dll
2010-02-03 03:34 . 2010-01-30 18:24 887724 ----a-w- c:\windows\system32\ativva6x.dat
2010-02-03 03:34 . 2010-01-30 18:24 3 ----a-w- c:\windows\system32\ativva5x.dat
2010-02-03 03:32 . 2010-01-30 18:03 397312 ----a-w- c:\windows\system32\atiok3x2.dll
2010-02-03 03:23 . 2009-12-21 18:58 208896 ----a-w- c:\windows\system32\atipdlxx.dll
2010-02-03 03:23 . 2010-01-30 18:03 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2010-02-03 03:23 . 2010-01-30 18:03 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2010-02-03 03:23 . 2009-12-21 18:58 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-02-03 03:22 . 2010-01-30 18:03 159744 ----a-w- c:\windows\system32\ati2evxx.dll
2010-02-03 03:21 . 2009-12-21 18:58 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2010-02-03 03:19 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2010-02-03 03:19 . 2010-03-08 11:18 143360 ----a-w- c:\windows\system32\atiapfxx.exe
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\atimpc32.dll
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\amdpcom32.dll
2010-02-03 03:17 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-02-03 03:15 . 2010-01-30 18:03 565248 ----a-w- c:\windows\system32\atikvmag.dll
2010-02-03 03:12 . 2010-01-30 18:03 180224 ----a-w- c:\windows\system32\atiadlxx.dll
2010-02-03 03:12 . 2010-01-30 18:03 17408 ----a-w- c:\windows\system32\atitvo32.dll
2010-02-03 03:06 . 2010-01-30 18:03 638976 ----a-w- c:\windows\system32\ati2cqag.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [6.3.2010 13:33 25096]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.3.2010 13:33 52872]
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [5.2.2009 19:18 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [5.2.2009 19:18 5248]
R0 sfdrv02;FrontLine Environment Driver (v2);c:\windows\system32\drivers\sfdrv02.sys [11.9.2006 13:57 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:\windows\system32\drivers\sfsync05.sys [11.8.2006 18:09 59776]
R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [8.9.2009 22:25 95592]
S1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.3.2010 13:33 216200]
S1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.3.2010 13:33 242696]
S2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [6.3.2010 13:52 916760]
S2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.3.2010 13:52 308064]
S2 avgfws9;AVG Firewall;c:\program files\AVG\AVG9\avgfws9.exe [6.3.2010 13:52 2325816]
S2 AVGIDSAgent;AVG9IDSAgent;c:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [6.3.2010 13:52 5888008]
S3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [6.3.2010 13:33 122376]
S3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [6.3.2010 13:33 30216]
S3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [6.3.2010 13:33 26120]
S3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\DynCal.sys [7.11.2007 20:15 12928]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [14.9.2009 16:04 91856]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.12.2008 23:28 691696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
.
------- Doplňkový sken -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {5D3D3CCE-D4C6-45B6-A85C-952672CC26EB} = 10.0.0.1
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-14 18:28
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x87B15C40]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7633f28
\Driver\ACPI -> ACPI.sys @ 0xf7580cb8
\Driver\atapi -> atapi.sys @ 0xf74ed852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
user & kernel MBR OK
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(276)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
- - - - - - - > 'explorer.exe'(1420)
c:\progra~1\WINDOW~2\wmpband.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
.
**************************************************************************
.
Celkový čas: 2010-04-14 18:33:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-14 16:33
ComboFix2.txt 2010-04-09 11:29
Před spuštěním: Volných bajtů: 35 391 680 512
Po spuštění: Volných bajtů: 35 344 113 664
Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - DA6F2E4A11AFAB9874A0DB9BAEE0FFB8
Jinak vše jsem provedl dle popisu.A v nouzáku se mi podařilo i rozjet ten ComboFix.
Zde jsou logy:
5:57:35:328 3592 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
15:57:35:328 3592 ================================================================================
15:57:35:328 3592 SystemInfo:
15:57:35:328 3592 OS Version: 5.1.2600 ServicePack: 3.0
15:57:35:328 3592 Product type: Workstation
15:57:35:328 3592 ComputerName: 4500717F2B5C41C
15:57:35:328 3592 UserName: Administrator
15:57:35:328 3592 Windows directory: C:\WINDOWS
15:57:35:328 3592 Processor architecture: Intel x86
15:57:35:328 3592 Number of processors: 1
15:57:35:328 3592 Page size: 0x1000
15:57:35:328 3592 Boot type: Normal boot
15:57:35:328 3592 ================================================================================
15:57:35:328 3592 UnloadDriverW: NtUnloadDriver error 2
15:57:35:328 3592 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
15:57:35:343 3592 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
15:57:35:343 3592 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
15:57:35:343 3592 wfopen_ex: Trying to KLMD file open
15:57:35:343 3592 wfopen_ex: File opened ok (Flags 2)
15:57:35:343 3592 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
15:57:35:343 3592 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
15:57:35:343 3592 wfopen_ex: Trying to KLMD file open
15:57:35:343 3592 wfopen_ex: File opened ok (Flags 2)
15:57:35:343 3592 Initialize success
15:57:35:343 3592
15:57:35:343 3592 Scanning Services ...
15:57:35:375 3592 Raw services enum returned 376 services
15:57:35:390 3592
15:57:35:390 3592 Scanning Kernel memory ...
15:57:35:390 3592 Devices to scan: 2
15:57:35:390 3592
15:57:35:390 3592 Driver Name: Disk
15:57:35:390 3592 IRP_MJ_CREATE : F75E2BB0
15:57:35:390 3592 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
15:57:35:390 3592 IRP_MJ_CLOSE : F75E2BB0
15:57:35:390 3592 IRP_MJ_READ : F75DCD1F
15:57:35:390 3592 IRP_MJ_WRITE : F75DCD1F
15:57:35:390 3592 IRP_MJ_QUERY_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_SET_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_EA : 804F355A
15:57:35:390 3592 IRP_MJ_SET_EA : 804F355A
15:57:35:390 3592 IRP_MJ_FLUSH_BUFFERS : F75DD2E2
15:57:35:390 3592 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_DIRECTORY_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_DEVICE_CONTROL : F75DD3BB
15:57:35:390 3592 IRP_MJ_INTERNAL_DEVICE_CONTROL : F75E0F28
15:57:35:390 3592 IRP_MJ_SHUTDOWN : F75DD2E2
15:57:35:390 3592 IRP_MJ_LOCK_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_CLEANUP : 804F355A
15:57:35:390 3592 IRP_MJ_CREATE_MAILSLOT : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_SECURITY : 804F355A
15:57:35:390 3592 IRP_MJ_SET_SECURITY : 804F355A
15:57:35:390 3592 IRP_MJ_POWER : F75DEC82
15:57:35:390 3592 IRP_MJ_SYSTEM_CONTROL : F75E399E
15:57:35:390 3592 IRP_MJ_DEVICE_CHANGE : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_QUOTA : 804F355A
15:57:35:390 3592 IRP_MJ_SET_QUOTA : 804F355A
15:57:35:406 3592 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
15:57:35:406 3592
15:57:35:406 3592 Driver Name: nvatabus
15:57:35:406 3592 IRP_MJ_CREATE : 8787E660
15:57:35:406 3592 IRP_MJ_CREATE_NAMED_PIPE : 8787E660
15:57:35:406 3592 IRP_MJ_CLOSE : 8787E660
15:57:35:406 3592 IRP_MJ_READ : 8787E660
15:57:35:406 3592 IRP_MJ_WRITE : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_SET_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_EA : 8787E660
15:57:35:406 3592 IRP_MJ_SET_EA : 8787E660
15:57:35:406 3592 IRP_MJ_FLUSH_BUFFERS : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_VOLUME_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_SET_VOLUME_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_DIRECTORY_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_FILE_SYSTEM_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_DEVICE_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_SHUTDOWN : 8787E660
15:57:35:406 3592 IRP_MJ_LOCK_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_CLEANUP : 8787E660
15:57:35:406 3592 IRP_MJ_CREATE_MAILSLOT : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_SECURITY : 8787E660
15:57:35:406 3592 IRP_MJ_SET_SECURITY : 8787E660
15:57:35:406 3592 IRP_MJ_POWER : 8787E660
15:57:35:406 3592 IRP_MJ_SYSTEM_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_DEVICE_CHANGE : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_QUOTA : 8787E660
15:57:35:406 3592 IRP_MJ_SET_QUOTA : 8787E660
15:57:35:468 3592 C:\WINDOWS\system32\DRIVERS\nvatabus.sys - Verdict: 1
15:57:35:468 3592
15:57:35:468 3592 Completed
15:57:35:468 3592
15:57:35:468 3592 Results:
15:57:35:468 3592 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592 File objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592
15:57:35:468 3592 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
15:57:35:468 3592 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
15:57:35:468 3592 KLMD(ARK) unloaded successfully
a log.č.2:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Error: No service named S3 VBoxNetFlt was found to stop!
Service\Driver key S3 VBoxNetFlt not found.
Service sfrem02 stopped successfully!
Service sfrem02 deleted successfully!
Error: No service named FrontLine Drivers Auto Removal (v2) was found to stop!
Service\Driver key FrontLine Drivers Auto Removal (v2) not found.
Error: No service named VBoxNetFlt Service was found to stop!
Service\Driver key VBoxNetFlt Service not found.
========== REGISTRY ==========
========== FILES ==========
c:\windows\system32\sys_drv.dat moved successfully.
c:\windows\system32\sys_drv_2.dat moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 178000 bytes
->Temporary Internet Files folder emptied: 64042 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1790 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41044 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: PC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 23948 bytes
Total Files Cleaned = 1,00 mb
OTM by OldTimer - Version 3.1.10.1 log created on 04142010_160150
A log CF:
ComboFix 10-04-09.01 - Administrator 14.04.2010 18:21:34.25.1 - x86 MINIMAL
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.809 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\CFScript.txt
AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
FILE ::
"c:\windows\system32\sys_drv.dat"
"c:\windows\system32\sys_drv_2.dat"
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-14 do 2010-04-14 )))))))))))))))))))))))))))))))
.
2010-04-14 14:01 . 2010-04-14 14:01 -------- d-----w- C:\_OTM
2010-04-02 13:34 . 2010-04-02 13:34 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-02 11:36 . 2010-04-05 08:27 -------- d-----w- C:\Paradise
2010-03-28 13:03 . 2010-03-28 13:11 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-15 18:21 . 2010-03-15 18:21 -------- d-----w- c:\program files\Lamer
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-14 15:44 . 2008-12-18 15:07 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-02 12:44 . 2010-02-22 10:29 -------- d-----w- c:\program files\Ubisoft
2010-04-01 16:33 . 2010-02-13 20:09 -------- d-----w- c:\program files\TopCD
2010-03-30 14:44 . 2009-08-27 11:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-29 22:46 . 2009-08-27 11:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-08-27 11:16 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-28 19:03 . 2009-12-28 08:27 -------- d-----w- c:\program files\MotoGP2
2010-03-28 13:11 . 2009-08-05 17:50 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-28 13:11 . 2009-08-05 17:50 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-28 12:42 . 2008-12-21 08:19 -------- d-----w- c:\program files\Activision
2010-03-28 06:49 . 2001-09-20 12:00 97578 ----a-w- c:\windows\system32\perfc005.dat
2010-03-28 06:49 . 2001-09-20 12:00 466408 ----a-w- c:\windows\system32\perfh005.dat
2010-03-27 17:25 . 2008-12-18 14:11 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-26 11:14 . 2009-09-06 17:42 -------- d-----w- c:\program files\Opera
2010-03-14 16:54 . 2010-03-09 10:54 -------- d-----w- c:\program files\Crashday
2010-03-11 12:36 . 2004-08-17 13:49 832512 ------w- c:\windows\system32\wininet.dll
2010-03-11 12:36 . 2004-08-17 13:49 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:36 . 2004-08-17 13:49 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 13:50 . 2009-09-10 09:18 -------- d-----w- c:\program files\uTorrent
2010-03-09 11:42 . 2008-12-18 16:22 -------- d-----w- c:\program files\Google
2010-03-09 11:13 . 2010-03-09 10:59 -------- d-----w- c:\program files\JoWooD
2010-03-09 11:01 . 2010-03-09 11:01 -------- d-----w- c:\program files\ZOO Digital Publishing
2010-03-09 10:46 . 2010-02-03 14:20 -------- d-----w- c:\program files\Electronic Arts
2010-03-08 11:18 . 2010-01-30 18:24 -------- d-----w- c:\program files\ATI
2010-03-08 07:44 . 2010-02-04 19:21 -------- d-----w- c:\program files\MagicISO
2010-03-07 06:40 . 2008-12-18 15:44 -------- d-----w- c:\program files\VS Revo Group
2010-03-06 11:52 . 2010-03-06 11:33 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-06 11:52 . 2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-06 11:52 . 2010-03-06 11:33 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 25096 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2010-03-06 11:52 . 2010-03-06 11:33 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2010-03-06 11:52 . 2010-03-06 11:33 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2010-03-06 11:52 . 2010-03-06 11:33 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 52872 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2010-03-06 11:33 . 2010-03-06 11:33 -------- d-----w- c:\program files\AVG
2010-03-04 12:15 . 2010-03-04 12:15 -------- d-----w- c:\program files\THQ
2010-02-28 07:48 . 2010-02-28 07:48 -------- d-----w- c:\program files\Empire Interactive
2010-02-21 19:48 . 2009-09-10 09:58 -------- d-----w- c:\program files\IObit
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-18 16:35 . 2010-02-18 13:42 45056 ----a-w- c:\windows\NCUNINST.EXE
2010-02-18 13:42 . 2010-02-18 13:42 -------- d-----w- c:\program files\Common Files\SWF Studio
2010-02-14 17:19 . 2009-01-05 16:30 -------- d-----w- c:\program files\The Learning Company
2010-02-04 09:01 . 2010-02-13 20:09 74072 ----a-w- c:\windows\system32\XAPOFX1_4.dll
2010-02-04 09:01 . 2010-02-13 20:09 528216 ----a-w- c:\windows\system32\XAudio2_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 238936 ----a-w- c:\windows\system32\xactengine3_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 22360 ----a-w- c:\windows\system32\X3DAudio1_7.dll
2010-02-03 04:52 . 2008-08-21 04:52 4605952 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalrt.dll
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalcl.dll
2010-02-03 04:10 . 2010-01-30 18:03 3633152 ----a-w- c:\windows\system32\aticaldd.dll
2010-02-03 04:07 . 2010-01-30 18:24 311296 ----a-w- c:\windows\system32\atiiiexx.dll
2010-02-03 04:02 . 2010-01-30 18:03 14188544 ----a-w- c:\windows\system32\atioglxx.dll
2010-02-03 03:50 . 2010-01-30 18:03 3566048 ----a-w- c:\windows\system32\ati3duag.dll
2010-02-03 03:40 . 2010-01-30 18:24 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-02-03 03:39 . 2010-01-30 18:03 301568 ----a-w- c:\windows\system32\ati2dvag.dll
2010-02-03 03:35 . 2010-01-30 18:03 2176640 ----a-w- c:\windows\system32\ativvaxx.dll
2010-02-03 03:34 . 2010-01-30 18:24 887724 ----a-w- c:\windows\system32\ativva6x.dat
2010-02-03 03:34 . 2010-01-30 18:24 3 ----a-w- c:\windows\system32\ativva5x.dat
2010-02-03 03:32 . 2010-01-30 18:03 397312 ----a-w- c:\windows\system32\atiok3x2.dll
2010-02-03 03:23 . 2009-12-21 18:58 208896 ----a-w- c:\windows\system32\atipdlxx.dll
2010-02-03 03:23 . 2010-01-30 18:03 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2010-02-03 03:23 . 2010-01-30 18:03 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2010-02-03 03:23 . 2009-12-21 18:58 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-02-03 03:22 . 2010-01-30 18:03 159744 ----a-w- c:\windows\system32\ati2evxx.dll
2010-02-03 03:21 . 2009-12-21 18:58 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2010-02-03 03:19 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2010-02-03 03:19 . 2010-03-08 11:18 143360 ----a-w- c:\windows\system32\atiapfxx.exe
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\atimpc32.dll
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\amdpcom32.dll
2010-02-03 03:17 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-02-03 03:15 . 2010-01-30 18:03 565248 ----a-w- c:\windows\system32\atikvmag.dll
2010-02-03 03:12 . 2010-01-30 18:03 180224 ----a-w- c:\windows\system32\atiadlxx.dll
2010-02-03 03:12 . 2010-01-30 18:03 17408 ----a-w- c:\windows\system32\atitvo32.dll
2010-02-03 03:06 . 2010-01-30 18:03 638976 ----a-w- c:\windows\system32\ati2cqag.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [6.3.2010 13:33 25096]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.3.2010 13:33 52872]
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [5.2.2009 19:18 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [5.2.2009 19:18 5248]
R0 sfdrv02;FrontLine Environment Driver (v2);c:\windows\system32\drivers\sfdrv02.sys [11.9.2006 13:57 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:\windows\system32\drivers\sfsync05.sys [11.8.2006 18:09 59776]
R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [8.9.2009 22:25 95592]
S1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.3.2010 13:33 216200]
S1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.3.2010 13:33 242696]
S2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [6.3.2010 13:52 916760]
S2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.3.2010 13:52 308064]
S2 avgfws9;AVG Firewall;c:\program files\AVG\AVG9\avgfws9.exe [6.3.2010 13:52 2325816]
S2 AVGIDSAgent;AVG9IDSAgent;c:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [6.3.2010 13:52 5888008]
S3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [6.3.2010 13:33 122376]
S3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [6.3.2010 13:33 30216]
S3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [6.3.2010 13:33 26120]
S3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\DynCal.sys [7.11.2007 20:15 12928]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [14.9.2009 16:04 91856]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.12.2008 23:28 691696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
.
------- Doplňkový sken -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {5D3D3CCE-D4C6-45B6-A85C-952672CC26EB} = 10.0.0.1
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-14 18:28
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x87B15C40]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7633f28
\Driver\ACPI -> ACPI.sys @ 0xf7580cb8
\Driver\atapi -> atapi.sys @ 0xf74ed852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
user & kernel MBR OK
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(276)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
- - - - - - - > 'explorer.exe'(1420)
c:\progra~1\WINDOW~2\wmpband.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
.
**************************************************************************
.
Celkový čas: 2010-04-14 18:33:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-14 16:33
ComboFix2.txt 2010-04-09 11:29
Před spuštěním: Volných bajtů: 35 391 680 512
Po spuštění: Volných bajtů: 35 344 113 664
Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - DA6F2E4A11AFAB9874A0DB9BAEE0FFB8
-
jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43295
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu logu - časté zatuhnutí PC Vyřešeno
ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall
vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš
pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG či Avast, následně T-Cleaner smaž a zapni si AVG či Avast.
Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.
Pokud problémy přetrvávají , bude problém s HW (zadat nové téma do odpovídající sekce).
Start-Spustit a zadej ComboFix /Uninstall
vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš
pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG či Avast, následně T-Cleaner smaž a zapni si AVG či Avast.
Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.
Pokud problémy přetrvávají , bude problém s HW (zadat nové téma do odpovídající sekce).
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 50 hostů