Prosim o kontrolu logu - "System Critical Problem"

[Zkazer]

Jedna se o otravny zluty vystrazny tojuhelnicek na liste v oznamovaci oblasti. Obcas se od nej zobrazi bublinova napoveda, kde je oznameno, ze se jedna o System Critical Problem atd..
Prosim nekoho znaleho o kontrolu logu z Hijackthis. Predem dekuji za ochotu.

Logfile of HijackThis v1.99.1
Scan saved at 14:49:50, on 18.1.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\drivers\dcfssvc.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
C:\Program Files\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Program Files\QuickTime\qttask.exe
C:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
C:\Program Files\Virus-Bursters\virus-bursters.exe
C:\windows\system32\ruzczupg.exe
C:\windows\system32\isc_ui.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Výročí2000\Vyroci.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\VoipCheapCom\VoipCheapCom.exe
F:\KillBox.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\windows\system32\NOTEPAD.EXE
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {e7756192-2676-46D6-96EC-045F47645785} - C:\windows\system32\msahgjee.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ANIWZCSService] C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Program Files\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\windows\TEMP\E_S58.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\windows\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [Virus-Bursters] C:\Program Files\Virus-Bursters\virus-bursters.exe /h
O4 - HKLM\..\Run: [ruzczupg.exe] C:\windows\system32\ruzczupg.exe
O4 - HKLM\..\Run: [Personal Security Center Monitor] C:\windows\system32\isc_ui.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Svátky a výročí] C:\Program Files\Výročí2000\Vyroci.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [VoipCheapCom] "C:\Program Files\VoipCheapCom\VoipCheapCom.exe" -nosplash -minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 1389514423
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CC} - http://207.226.177.98/cza2218.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CD} - http://207.226.177.98/cza2218.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6153E5-280B-4B85-A7C0-EE5E7C8C32CB}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{92C26E06-5120-4B7E-867E-7335E445C381}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1ED4284-21FC-4177-A26C-4B85B76E28A6}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AB5904-A4BF-48ED-B43B-9A984539CBFC}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\windows\system32\drivers\dcfssvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

[Reklama]

[sakiri]

no jak vidím tak tam máš víc svinstva
1.krok
Stáhni si SmitFraudFix

Restartuj PC do nouzového režimu:

Spustíš SmitFraudFix - objeví se modrá obrazovka aplikace a stiskneš volbu 4. Proběhne update programu. Po té opět na obrazovce s menu stiskni volbu 2
Nechej proskenovat počítač.
Pokud budeš dotázán, zda povolíš čištění registrů (Do you want to clean the registry ?), stiskni klávesu Y (pozor na záměnu Y a Z na klávesnici)
Pokud budeš dotázán na odstranění zavirovaných souborů z počítače (Replace infected file ?), stiskneš opět klávesu Y.

Pak restartuj PC do normálního režimu.

2.krok
Stáhni si Fixwareout.
Restartuj do nouzáku a spusť Fixwareout, klikni na Next, potom na Install, zvolíš možnost Run fixit a klikni na Finish.
▪ Začne čistící proces a ty postupuj dle instrukcí.
▪ V případě odolnějších variant je vyžadován restart počítače, takže restartuj.
▪ Počítač může trochu déle nabíhat, po vstupu do Windows by mělo vyběhnout okno s logem z Fixwareoutu, tento log vloží zde do fóra a zároveň vlož nový log z HJT. Jestliže se výpis neobjeví, najdeš jej v C:\fixwareout\report.txt

poté log z HJT na dočištění + log z fixwareout.

+ nikde nevidím firewall.

[Zkazer]

Diky, je to totiz PC rodicu, kteri maji k 60ti a maji obecne s ovladanim PC problem.
Firewall doplnim, ostatni veci udelam podle tveho navodu a pak sem dam ony Logy. Jen to bude az za par dni, musim zase zajet k rodicum, udelat co je treba a pak to dam sem.
Kazdopadne velke diky.

[Zkazer]

Tak jsem vse udelal podle vyse uvedeneho navodu. Spusten Windows Firewall (doinstaluju jeste Sunbelt Kerio).
Po restartu po obou cistenich se vystrazny trojuhelnicek neobjevill, nicmene asi po 10 minutach prace na PC se objevil znova. Po dalsim restartu zmizel a ja uz jel radeji pryc ....
Tady jsou ty logy:
---------------------------------------------------------------------------------------------
SmithFraudFix:
SmitFraudFix v2.132

Scan done at 16:02:41,81, p 19.01.2007
Run from F:\SmitfraudFix
OS: Microsoft Windows XP [Verze 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\Program Files\QualityCodec\ Deleted
C:\Program Files\Video ActiveX Object\ Deleted
C:\Program Files\Virus-Bursters\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
---------------------------------------------------------------------------------------------
Fixwareout:
Fixwareout
Last edited 1/14/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
»»»»» System restarted
...
Reg Entries that were deleted
...
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»
---------------------------------------------------------------------------------------------
Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 16:27:20, on 19.1.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\drivers\dcfssvc.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\system32\wuauclt.exe
C:\windows\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
C:\Program Files\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
C:\windows\system32\ruzczupg.exe
C:\windows\system32\isc_ui.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Výročí2000\Vyroci.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\VoipCheapCom\VoipCheapCom.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {e7756192-2676-46D6-96EC-045F47645785} - C:\windows\system32\msahgjee.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ANIWZCSService] C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Program Files\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\windows\TEMP\E_S58.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\windows\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [ruzczupg.exe] C:\windows\system32\ruzczupg.exe
O4 - HKLM\..\Run: [Personal Security Center Monitor] C:\windows\system32\isc_ui.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Svátky a výročí] C:\Program Files\Výročí2000\Vyroci.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [VoipCheapCom] "C:\Program Files\VoipCheapCom\VoipCheapCom.exe" -nosplash -minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 1389514423
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CC} - http://207.226.177.98/cza2218.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CD} - http://207.226.177.98/cza2218.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6153E5-280B-4B85-A7C0-EE5E7C8C32CB}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{92C26E06-5120-4B7E-867E-7335E445C381}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1ED4284-21FC-4177-A26C-4B85B76E28A6}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AB5904-A4BF-48ED-B43B-9A984539CBFC}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\windows\system32\drivers\dcfssvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
---------------------------------------------------------------------------------------------
Diky za ochotu a obetovany cas.

[sakiri]

fixni v HJT:
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CC} - http://207.226.177.98/cza2218.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CD} - http://207.226.177.98/cza2218.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6153E5-280B-4B85-A7C0-EE5E7C8C32CB}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{92C26E06-5120-4B7E-867E-7335E445C381}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1ED4284-21FC-4177-A26C-4B85B76E28A6}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AB5904-A4BF-48ED-B43B-9A984539CBFC}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185

a restartuj PC.Pokud používáš pevnou IP tak tam nastav v nastavení internetu správné údaje od pokystovatele internetu.Pokud nepoužíváš pevnou IP tak to udělej takto:

Jestliže nepoužíváte pevnou IP adresu, proxy atd., v sekci Start - Nastavení - Ovládací panely - Síťová připojení - Připojení k místní síti - Vlastnosti - Protokol sítě Internet (TCP/IP) - Vlastnosti zvolíme Získat adresu IP ze serveru DHCP automaticky a Získat adresu serveru DNS automaticky

Poté nech otestovat tyto soubory na Virusttotalu:
C:\windows\system32\ruzczupg.exe
C:\windows\system32\msahgjee.dll
C:\windows\system32\isc_ui.exe

a zkopíruj sem výsledky + nový log z HJT.

[fredik]

Ukonči v TaskManageru (zmáčkni zároveň klávesy ctrl+alt+delete) otevře se ti okno a v něm se přepni na záložku Procesy a v ní ukonči:
isc_ui.exe

Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
O2 - BHO: (no name) - {e7756192-2676-46D6-96EC-045F47645785} - C:\windows\system32\msahgjee.dll
O4 - HKLM\..\Run: [Personal Security Center Monitor] C:\WINDOWS\system32\isc_ui.exe
16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CC} - http://207.226.177.98/cza2218.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CD} - http://207.226.177.98/cza2218.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6153E5-280B-4B85-A7C0-EE5E7C8C32CB}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{92C26E06-5120-4B7E-867E-7335E445C381}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1ED4284-21FC-4177-A26C-4B85B76E28A6}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AB5904-A4BF-48ED-B43B-9A984539CBFC}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.103 85.255.112.185

po zaškrtnutí klikni na tlačítko Fix Checked

Tento soubor nech zkontrolovat na VirusTotall
C:\windows\system32\ruzczupg.exe

Dej sem pak výsledek + nový log z HJT
a smaž tento soubor:
C:\WINDOWS\system32\isc_ui.exe

[Zkazer]

Udelal jsem vse podle doporuceneho postupu, mezitim jsem ale zjistil, ze Win i cast nainstal. SW na tomto PC jsou uz castecne v rozkladu, PC bylo instalovano pred cca 2mi lety a dely se na nem za tu dobu veci, ze by se jeden nestacil divit ...
Pocitac jsem vzal od rodicu domu a udelam komplet novou instalaci Win, to je v tuto chvili asi nejefektivnejsi reseni.
Dekuji obema panum za pomoc, cenim si toho, ze jsou ochotni travit cas nezjistnou pomoci potrebnym. Diky.
Zkazer.

[fredik]

I za sakriri-ho nemáš za co