problem s USB -_- prosim o pomoc

[ThePosik7]

To samé v nouzovém režimu jede to asi 15 sec a vypne se to ... Jinak tu fleshku mi PC nepřijme už vubec .. předtím než jsem do toho začal dlubat mi aspon občas načetla a sem tam jsem tam i něco zkopiroval film atd.. ale tědka už se nezobrazí vubec :/

[Reklama]

[jerabina]

Tam je něco nehezkého ...

Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

Stáhni si aswMBR
na svojí plochu. Uzavři všechna okna , programy a prohlížeče. Poklepej na aswMBR.exe. Pokud se objeví hláška o možnosti stáhnutí databáze Avastu, klikni na NE. Poté klikni na „Scan“ . Po skenu klikni na „Save Log“ a ulož si log na plochu .Zkopíruj sem celý obsah toho logu. Pak klikni na „Exit“ k zavření programu.

[ThePosik7]

Antivirus Avast jsem odinstaloval před 5 dny . Vypl jsem i firewall . Tědka jsem tam vložil dluhou flashku která je naformatovana na FAT32 a hned se ukazala i jsem na ni zkopiroval dva filmy a v pořadku odejmul. Vložil jsem druhou která je na NSTF a už ji pc nepřiml a zase se zasekl .

[jerabina]

Hmm ... to je zajímavé. Postupuj prosím instrukcemi.

[ThePosik7]

ComboFix 15-06-09.01 - admin 10.06.2015 21:37:52.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2047.1702 [GMT 2:00]
Spuštěný z: c:\documents and settings\admin\Dokumenty\Sta×enÚ soubory\ComboFix.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2015-05-10 do 2015-06-10 )))))))))))))))))))))))))))))))
.
.
2015-06-10 08:46 . 2015-06-10 08:46 -------- d-----w- C:\RegBackup
2015-06-09 19:44 . 2015-06-09 19:48 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2015-06-09 19:44 . 2015-04-14 07:37 120024 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2015-06-09 19:44 . 2015-04-14 07:37 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2015-06-09 18:46 . 2015-06-09 18:46 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2015-06-09 18:21 . 2015-06-09 18:42 -------- d-----w- C:\AdwCleaner
2015-05-28 20:25 . 2015-05-28 20:25 45056 ----a-w- c:\windows\system32\vusetup.dll
2015-05-28 20:25 . 2005-06-06 15:51 11264 ----a-w- c:\windows\system32\drivers\vulfntr.sys
2015-05-28 20:25 . 2005-01-05 16:02 6912 ----a-w- c:\windows\system32\drivers\vulfnth.sys
2015-05-28 20:25 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe
2015-05-24 13:13 . 2015-05-24 13:13 -------- d-----w- c:\program files\Lavalys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-06-09 18:50 . 2014-12-27 21:52 137176 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2015-06-09 18:50 . 2014-12-27 22:37 268952 ----a-w- c:\windows\system32\PnkBstrB.xtr
2015-06-09 18:50 . 2014-12-27 21:52 268952 ----a-w- c:\windows\system32\PnkBstrB.exe
2015-06-09 18:46 . 2014-12-27 19:36 778416 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-06-09 18:46 . 2014-12-27 19:36 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2015-06-07 19:28 . 2014-12-27 21:52 268952 ----a-w- c:\windows\system32\PnkBstrB.ex0
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2009-02-13 102491]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-13 692315]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SoftwareSASGeneration"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Wolfenstein - Enemy Territory\\et.exe"=
"c:\\Program Files\\HLSW\\hlsw.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2015-04-24 14:43 988488 ----a-w- c:\program files\Google\Chrome\Application\42.0.2311.90\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2015-06-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-27 18:46]
.
2015-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2015-04-24 14:38]
.
2015-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2015-04-24 14:38]
.
2014-12-28 c:\windows\Tasks\Měsíční oznamování konce poskytování služeb pro Microsoft Windows XP.job
- c:\windows\system32\xp_eos.exe [2014-12-28 23:28]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.windowsxlive.net
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe" //mailurl:mailto:e-podatelna@exekuce.eu
TCP: DhcpNameServer = 172.16.1.1
FF - ProfilePath - c:\documents and settings\admin\Data aplikací\Mozilla\Firefox\Profiles\47a014gm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.idnes.cz/
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)
HKCU-Run-GoogleDriveSync - c:\program files\Google\Drive\googledrivesync.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-DrvIcon - c:\progra~1\UXPACK~1\VISTAD~1\DrvIcon.exe
SafeBoot-UnsignedThemes
SafeBoot-uxpatch
AddRemove-McAfee Security Scan - c:\program files\McAfee Security Scan\uninstall.exe
AddRemove-Wolfenstein - Enemy Territory - c:\program files\Wolfenstein - Enemy Territory\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2015-06-10 21:41
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_17_0_0_188_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_17_0_0_188_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(616)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(1680)
c:\windows\system32\webcheck.dll
.
Celkový čas: 2015-06-10 21:43:10
ComboFix-quarantined-files.txt 2015-06-10 19:43
.
Před spuštěním: Volných bajtů: 22 731 501 568
Po spuštění: Volných bajtů: 22 723 440 640
.
WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 8ADE0C1DE1063D8D836D6A538958BACD
413FC2A0C716421B3158746D63736515

[Orcus]

Takže CF znovu a tentokrát z Plochy, jak chceme, ok?

Spuštěný z: c:\documents and settings\admin\Dokumenty\Sta×enÚ soubory\ComboFix.exe

[ThePosik7]

ComboFix 15-06-09.01 - admin 11.06.2015 9:06.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2047.1669 [GMT 2:00]
Spuštěný z: c:\documents and settings\admin\Plocha\ComboFix.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2015-05-11 do 2015-06-11 )))))))))))))))))))))))))))))))
.
.
2015-06-10 08:46 . 2015-06-10 08:46 -------- d-----w- C:\RegBackup
2015-06-09 19:44 . 2015-06-09 19:48 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2015-06-09 19:44 . 2015-04-14 07:37 120024 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2015-06-09 19:44 . 2015-04-14 07:37 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2015-06-09 18:46 . 2015-06-09 18:46 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2015-06-09 18:21 . 2015-06-09 18:42 -------- d-----w- C:\AdwCleaner
2015-05-28 20:25 . 2015-05-28 20:25 45056 ----a-w- c:\windows\system32\vusetup.dll
2015-05-28 20:25 . 2005-06-06 15:51 11264 ----a-w- c:\windows\system32\drivers\vulfntr.sys
2015-05-28 20:25 . 2005-01-05 16:02 6912 ----a-w- c:\windows\system32\drivers\vulfnth.sys
2015-05-28 20:25 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe
2015-05-24 13:13 . 2015-05-24 13:13 -------- d-----w- c:\program files\Lavalys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-06-09 18:50 . 2014-12-27 21:52 137176 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2015-06-09 18:50 . 2014-12-27 22:37 268952 ----a-w- c:\windows\system32\PnkBstrB.xtr
2015-06-09 18:50 . 2014-12-27 21:52 268952 ----a-w- c:\windows\system32\PnkBstrB.exe
2015-06-09 18:46 . 2014-12-27 19:36 778416 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-06-09 18:46 . 2014-12-27 19:36 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2015-06-07 19:28 . 2014-12-27 21:52 268952 ----a-w- c:\windows\system32\PnkBstrB.ex0
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2009-02-13 102491]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-13 692315]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SoftwareSASGeneration"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Wolfenstein - Enemy Territory\\et.exe"=
"c:\\Program Files\\HLSW\\hlsw.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2015-04-24 14:43 988488 ----a-w- c:\program files\Google\Chrome\Application\42.0.2311.90\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2015-06-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-27 18:46]
.
2015-06-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2015-04-24 14:38]
.
2015-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2015-04-24 14:38]
.
2014-12-28 c:\windows\Tasks\Měsíční oznamování konce poskytování služeb pro Microsoft Windows XP.job
- c:\windows\system32\xp_eos.exe [2014-12-28 23:28]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.windowsxlive.net
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe" //mailurl:mailto:e-podatelna@exekuce.eu
TCP: DhcpNameServer = 172.16.1.1
FF - ProfilePath - c:\documents and settings\admin\Data aplikací\Mozilla\Firefox\Profiles\47a014gm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.idnes.cz/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2015-06-11 09:10
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_17_0_0_188_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_17_0_0_188_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(624)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(980)
c:\windows\system32\webcheck.dll
.
Celkový čas: 2015-06-11 09:11:17
ComboFix-quarantined-files.txt 2015-06-11 07:11
ComboFix2.txt 2015-06-11 06:58
ComboFix3.txt 2015-06-11 06:46
ComboFix4.txt 2015-06-10 19:43
.
Před spuštěním: Volných bajtů: 22 668 730 368
Po spuštění: Volných bajtů: 22 668 455 936
.
- - End Of File - - 6257B368CB227029F49DB7DFC383C39A
413FC2A0C716421B3158746D63736515

[jerabina]

Od kdy přesně tento problém máš?
Vidím tam potenciálně 2 .sys soubory, které by to mohly dělat, jedná se o ovladače USB od Via:

Kód: Vybrat vše

c:\windows\system32\drivers\vulfntr.sys
c:\windows\system32\drivers\vulfnth.sys

Oba jsou vytvořeny dne 28.5.2015, takže jestli ti to blbne tady od té doby přibližně, tak je to nejspíše jimi.

Udělej ten AswMbr.

Na Virustotal otestuj následující soubor, odkaz na výsledek testu mi sem vlož:

Kód: Vybrat vše

c:\windows\system32\Ati2evxx.dll

Pokud byl již analyzován, klikni na reanalyse


Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

Kód: Vybrat vše

ClearJavaCache::

KillAll::

File::
c:\windows\Tasks\Adobe Flash Player Updater.job
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

Folder::
c:\program files\Google\Update

DDS:
uStart Page = hxxp://www.windowsxlive.net

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_17_0_0_188_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_17_0_0_188_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť:

- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

[ThePosik7]

Problem stym mam od samého začatku co jsem ten počítač dostal z druhé ruky což je asi už rok..

--------------------------------------------------------------------------------------------------------------------

ComboFix 15-06-09.01 - admin 11.06.2015 18:04:10.5.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2047.1558 [GMT 2:00]
Spuštěný z: c:\documents and settings\admin\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\admin\Plocha\CFScript.txt
.
FILE ::
"c:\windows\Tasks\Adobe Flash Player Updater.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Google\Update
c:\program files\Google\Update\1.3.21.169\GoogleCrashHandler.exe
c:\program files\Google\Update\1.3.21.169\GoogleCrashHandler64.exe
c:\program files\Google\Update\1.3.21.169\GoogleUpdate.exe
c:\program files\Google\Update\1.3.21.169\GoogleUpdateBroker.exe
c:\program files\Google\Update\1.3.21.169\GoogleUpdateHelper.msi
c:\program files\Google\Update\1.3.21.169\GoogleUpdateOnDemand.exe
c:\program files\Google\Update\1.3.21.169\GoogleUpdateSetup.exe
c:\program files\Google\Update\1.3.21.169\goopdate.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_am.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ar.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_bg.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_bn.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ca.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_cs.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_da.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_de.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_el.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_en-GB.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_en.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_es-419.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_es.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_et.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_fa.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_fi.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_fil.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_fr.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_gu.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_hi.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_hr.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_hu.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_id.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_is.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_it.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_iw.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ja.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_kn.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ko.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_lt.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_lv.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ml.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_mr.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ms.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_nl.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_no.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_pl.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_pt-BR.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_pt-PT.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ro.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ru.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_sk.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_sl.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_sr.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_sv.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_sw.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ta.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_te.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_th.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_tr.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_uk.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_ur.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_vi.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_zh-CN.dll
c:\program files\Google\Update\1.3.21.169\goopdateres_zh-TW.dll
c:\program files\Google\Update\1.3.21.169\npGoogleUpdate3.dll
c:\program files\Google\Update\1.3.21.169\psmachine.dll
c:\program files\Google\Update\1.3.21.169\psuser.dll
c:\program files\Google\Update\Download\{8A69D345-D564-463C-AFF1-A69D9E530F96}\42.0.2311.90\42.0.2311.90_chrome_installer.exe
c:\program files\Google\Update\GoogleUpdate.exe
c:\program files\Google\Update\Install\{41551713-C405-44DA-B190-59608A5B8E24}\42.0.2311.90_chrome_installer.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_gupdate
-------\Legacy_gupdate
-------\Service_gupdate
-------\Service_gupdatem
-------\Service_gupdate
-------\Service_gupdatem
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2015-05-11 do 2015-06-11 )))))))))))))))))))))))))))))))
.
.
2015-06-10 08:46 . 2015-06-10 08:46 -------- d-----w- C:\RegBackup
2015-06-09 19:44 . 2015-06-09 19:48 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2015-06-09 19:44 . 2015-04-14 07:37 120024 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2015-06-09 19:44 . 2015-04-14 07:37 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2015-06-09 18:46 . 2015-06-09 18:46 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2015-06-09 18:21 . 2015-06-09 18:42 -------- d-----w- C:\AdwCleaner
2015-05-28 20:25 . 2015-05-28 20:25 45056 ----a-w- c:\windows\system32\vusetup.dll
2015-05-28 20:25 . 2005-06-06 15:51 11264 ----a-w- c:\windows\system32\drivers\vulfntr.sys
2015-05-28 20:25 . 2005-01-05 16:02 6912 ----a-w- c:\windows\system32\drivers\vulfnth.sys
2015-05-28 20:25 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe
2015-05-24 13:13 . 2015-05-24 13:13 -------- d-----w- c:\program files\Lavalys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-06-09 18:50 . 2014-12-27 21:52 137176 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2015-06-09 18:50 . 2014-12-27 22:37 268952 ----a-w- c:\windows\system32\PnkBstrB.xtr
2015-06-09 18:50 . 2014-12-27 21:52 268952 ----a-w- c:\windows\system32\PnkBstrB.exe
2015-06-09 18:46 . 2014-12-27 19:36 778416 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-06-09 18:46 . 2014-12-27 19:36 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2015-06-07 19:28 . 2014-12-27 21:52 268952 ----a-w- c:\windows\system32\PnkBstrB.ex0
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2009-02-13 102491]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-13 692315]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SoftwareSASGeneration"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Wolfenstein - Enemy Territory\\et.exe"=
"c:\\Program Files\\HLSW\\hlsw.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2015-04-24 14:43 988488 ----a-w- c:\program files\Google\Chrome\Application\42.0.2311.90\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2015-06-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-27 18:46]
.
2014-12-28 c:\windows\Tasks\Měsíční oznamování konce poskytování služeb pro Microsoft Windows XP.job
- c:\windows\system32\xp_eos.exe [2014-12-28 23:28]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.windowsxlive.net
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe" //mailurl:mailto:e-podatelna@exekuce.eu
TCP: DhcpNameServer = 172.16.1.1
FF - ProfilePath - c:\documents and settings\admin\Data aplikací\Mozilla\Firefox\Profiles\47a014gm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.idnes.cz/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2015-06-11 18:10
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(616)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2068)
c:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2015-06-11 18:12:03 - počítač byl restartován
ComboFix-quarantined-files.txt 2015-06-11 16:12
ComboFix2.txt 2015-06-11 07:11
ComboFix3.txt 2015-06-11 06:58
ComboFix4.txt 2015-06-11 06:46
ComboFix5.txt 2015-06-11 16:02
.
Před spuštěním: Volných bajtů: 22 667 882 496
Po spuštění: Volných bajtů: 22 475 374 592
.
- - End Of File - - C9B0B082B76BAFECB57295335F98C602
413FC2A0C716421B3158746D63736515

[ThePosik7]

SHA256: 764a6ceef0c147cf1fab2dc75ae6c599c207a23070801923619f22ef0c5dc3ab
File name: ATI2EVXX.DLL
Detection ratio: 0 / 55
Analysis date: 2015-04-30 00:42:56 UTC ( 1 měsíc, 1 týden ago )
1
0
Probably harmless! There are strong indicators suggesting that this file is safe to use.

[Orcus]

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

====================================================

Stáhni si aswMBR
na svojí plochu. Uzavři všechna okna , programy a prohlížeče. Poklepej na aswMBR.exe. Pokud se objeví hláška o možnosti stáhnutí databáze Avastu , klikni na NE. Poté klikni na „Scan“ . Po skenu klikni na „Save Log“ a ulož si log na plochu .Zkopíruj sem celý obsah toho logu. Pak klikni na „Exit“ k zavření programu.

[ThePosik7]

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-06-11 18:41:24
-----------------------------
18:41:24.375 OS Version: Windows 5.1.2600 Service Pack 3
18:41:24.375 Number of processors: 1 586 0x207
18:41:24.375 ComputerName: POSIK UserName: admin
18:41:25.062 Initialize success
18:41:25.109 VM: initialized successfully
18:41:25.109 VM: Intel CPU virtualization not supported
18:41:30.109 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
18:41:30.109 Disk 0 Vendor: WDC_WD800JB-00JJC0 05.01C05 Size: 76319MB BusType: 3
18:41:30.125 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
18:41:30.125 Disk 1 Vendor: WDC_WD1200BB-00GUA0 08.02D08 Size: 111427MB BusType: 3
18:41:30.218 Disk 0 MBR read successfully
18:41:30.218 Disk 0 MBR scan
18:41:30.218 Disk 0 Windows XP default MBR code
18:41:30.218 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 76308 MB offset 63
18:41:30.218 Disk 0 Boot: NTFS code=1
18:41:30.234 Disk 0 scanning sectors +156280320
18:41:30.296 Disk 0 scanning C:\WINDOWS\system32\drivers
18:41:36.484 Service scanning
18:41:43.234 Modules scanning
18:41:43.234 Disk 0 trace - called modules:
18:41:43.250 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
18:41:43.250 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89bc2ab8]
18:41:43.250 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\00000057[0x89bc3f18]
18:41:43.265 5 ACPI.sys[f75ae620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x89c04d98]
18:41:43.265 Disk 0 statistics 56951/0/0 @ 5,73 MB/s
18:41:43.265 Scan finished successfully
18:42:24.875 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\admin\Plocha\MBR.dat"
18:42:24.875 The log file has been saved successfully to "C:\Documents and Settings\admin\Plocha\aswMBR.txt"