Preventivní k.+Snížení počtu procesů spušť.při startu Vyřešeno

[jaro3]

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')


Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
d:\windows\dsys6668.dat
d:\program files\SRDownloader.exe
d:\windows\nsreg.dat

Folder::
d:\windows\SxsCaPendDel

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

Firefox::
FF - ProfilePath - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\1hokz0pl.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... 2.0.0.0&q=


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
///////////////////////////

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
d:\windows\system32\sfcfiles.dll
Vlož sem pak odkaz na stránku s výsledky.

Toto znáš:
d:\program files\SRDownloader.nast ??

[Reklama]

[Jan Pašek]

Tak mám konečně zas čas věnovat se svému PC (nebo se snad věnuje on mě to je filosofická otázka a ne radno ji příliš rozebírat)
Z toho co bylo posláno k fixnutí v HJT se mi nepovedlo nalézt některé položky. MOžná že je to tím že sem oproti minulému scanu vypnul Everest ultinate sleduji přes něj některé parametry HW (teplota, ventilátory, vytížení CPU a p.) nebo jsem již k večeru slepý jak patrona.

Přehled toho cos mi poslal k fixnutí:
Nenalezeno - R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
Nenalezeno - R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
Fix - R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
Fix - R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
Nenalezeno - O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Nenalezeno - O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
Nenalezeno - O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
Fix - O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
Fix - O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

Nový log z HJT:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:24:43, on 27.2.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Avast4\aswUpdSv.exe
D:\Program Files\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\BlueSoleil\BlueSoleilCS.exe
D:\Program Files\BlueSoleil\BsMobileCS.exe
D:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
D:\Documents and Settings\All Users\Data aplikací\EPSON\EPW!3 SSRP\E_S40RP7.EXE
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\RunDLL32.exe
D:\PROGRA~1\Avast4\ashDisp.exe
D:\Program Files\Avast4\ashMaiSv.exe
D:\Program Files\BlueSoleil\BtTray.exe
D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
D:\Program Files\VisualTaskTips\VisualTaskTips.exe
D:\Program Files\EVEREST Ultimate Edition\everest.exe
D:\Program Files\Avast4\ashWebSv.exe
D:\Program Files\BlueSoleil\BsHelpCS.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Program Files\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BtTray] "D:\Program Files\BlueSoleil\BtTray.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [VisualTaskTips] D:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [EVEREST AutoStart] D:\Program Files\EVEREST Ultimate Edition\everest.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send by Bluetooth - D:\Program Files\BlueSoleil\TransSend\IE\tsinfo.htm
O8 - Extra context menu item: Send via &Message... - D:\Program Files\BlueSoleil\TransSend\IE\tssms.htm
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\WINDOWS\system32\skype4com.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Avast4\ashWebSv.exe
O23 - Service: BlueSoleilCS - Unknown owner - D:\Program Files\BlueSoleil\BlueSoleilCS.exe
O23 - Service: BsHelpCS - Unknown owner - D:\Program Files\BlueSoleil\BsHelpCS.exe
O23 - Service: BsMobileCS - Unknown owner - D:\Program Files\BlueSoleil\BsMobileCS.exe
O23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - D:\Documents and Settings\All Users\Data aplikací\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5802 bytes

Nyní ke smazání souboru d:\program files\SRDownloader.exe - Vypustil sem jej
Jedná se o Downloader pocházející ze serveru http://share-rapid.com kde mám předplacený Download. K tomuto Downloaderu patří také soubor d:\program files\SRDownloader.nast což je nastavení již zmiňovaného downloaderu. Pro klid duše nás obou soubor protáhnu ještě Jotiscan nebo něčím podobným.

Nový log ComboFix:
ComboFix 10-02-26.03 - Spravce 27.02.2010 19:35:51.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.587 [GMT 1:00]
Spuštěný z: d:\documents and settings\Spravce\Plocha\ComboFix.exe
Použité ovládací přepínače :: d:\documents and settings\Spravce\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100227-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"d:\windows\dsys6668.dat"
"d:\windows\nsreg.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\windows\dsys6668.dat
d:\windows\nsreg.dat
d:\windows\SxsCaPendDel

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-27 do 2010-02-27 )))))))))))))))))))))))))))))))
.

2010-02-27 11:35 . 2010-01-07 15:07 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2010-02-27 11:35 . 2010-01-07 15:07 19160 ----a-w- d:\windows\system32\drivers\mbam.sys
2010-02-27 11:35 . 2010-02-27 11:35 -------- d-----w- d:\program files\Malwarebytes' Anti-Malware
2010-02-22 22:35 . 2010-02-22 22:35 -------- d-----w- d:\documents and settings\LocalService\Plocha
2010-02-22 18:58 . 2010-02-22 18:58 -------- d-sh--w- d:\documents and settings\Spravce\IECompatCache
2010-02-17 06:23 . 2010-02-17 06:23 -------- d-----w- d:\program files\Common Files\Java
2010-02-12 17:32 . 2010-02-25 15:12 -------- d-----w- d:\program files\US_Downloader
2010-02-12 09:05 . 2010-02-12 09:07 -------- d-----w- d:\program files\CDex
2010-02-11 11:51 . 1998-10-29 14:45 306688 ----a-w- d:\windows\IsUninst.exe
2010-02-09 21:36 . 2010-02-09 21:36 -------- d-sh--w- d:\documents and settings\NetworkService\IETldCache
2010-02-07 13:04 . 2008-03-29 00:36 499200 ----a-w- d:\program files\USB_Disk_Eject.exe
2010-02-07 12:49 . 2010-02-07 12:49 -------- d--h--w- d:\windows\system32\GroupPolicy
2010-02-06 11:38 . 2010-02-06 11:41 -------- d-----w- d:\windows\system32\NtmsData
2010-02-05 12:14 . 2006-06-20 08:56 225280 ----a-w- d:\windows\system32\rewire.dll
2010-02-05 12:14 . 2010-02-05 12:15 -------- d-----w- d:\program files\Image-Line
2010-02-05 07:46 . 2010-02-15 15:35 475136 ----a-w- d:\program files\SRDownloader.exe
2010-02-05 07:14 . 2010-02-05 07:22 -------- d-----w- d:\program files\EVEREST Ultimate Edition
2010-02-05 06:41 . 2010-02-05 06:50 -------- d-----w- d:\program files\Motherboard Monitor 5
2010-01-28 20:27 . 2010-01-28 20:27 -------- d-----w- d:\windows\Sun

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-27 10:54 . 2010-02-05 07:48 2984 ----a-w- d:\program files\SRDownloader.nast
2010-02-27 08:22 . 2010-01-24 23:26 -------- d-----w- d:\program files\CCleaner
2010-02-23 20:48 . 2010-01-24 22:04 -------- d--h--w- d:\program files\InstallShield Installation Information
2010-02-22 19:03 . 2010-01-24 21:24 -------- d-----w- d:\program files\Defraggler
2010-02-18 18:18 . 2010-01-24 22:04 -------- d-----w- d:\program files\ICQ7.0
2010-02-17 06:23 . 2010-01-24 23:02 -------- d-----w- d:\program files\Java
2010-02-13 21:04 . 2001-10-25 12:00 46196 ----a-w- d:\windows\system32\perfc005.dat
2010-02-13 21:04 . 2001-10-25 12:00 309990 ----a-w- d:\windows\system32\perfh005.dat
2010-02-06 10:32 . 2010-01-23 20:41 86327 ----a-w- d:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-06 10:32 . 2010-01-23 20:41 2426 ----a-w- d:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2010-02-06 10:30 . 2010-01-23 20:42 8972 ----a-w- d:\windows\pchealth\helpctr\Config\Cntstore.bin
2010-02-04 07:57 . 2010-01-24 23:38 -------- d-----w- d:\program files\MWSnap
2010-01-28 16:37 . 2010-01-24 23:15 -------- d-----w- d:\program files\Common Files\InstallShield
2010-01-25 21:35 . 2010-01-24 23:32 -------- d-----w- d:\program files\Wise Registry Cleaner
2010-01-25 20:59 . 2010-01-25 20:58 -------- d-----w- d:\program files\epson
2010-01-24 23:45 . 2010-01-24 23:10 -------- d-----w- d:\program files\totalcmd
2010-01-24 23:39 . 2010-01-24 23:39 -------- d-----w- d:\program files\VisualTaskTips
2010-01-24 23:24 . 2010-01-24 23:24 -------- d-----w- d:\program files\AVIcodec
2010-01-24 23:15 . 2010-01-24 23:15 -------- d-----w- d:\program files\Common Files\InterVideo
2010-01-24 23:15 . 2010-01-24 23:15 -------- d-----w- d:\program files\Windows Media Components
2010-01-24 23:03 . 2010-01-24 23:03 -------- d-----w- d:\program files\VistaCodecPack
2010-01-24 21:44 . 2010-01-24 21:43 -------- d-----w- d:\program files\Ant Movie Catalog
2010-01-24 20:48 . 2010-01-23 22:01 -------- d-----w- d:\program files\Common Files\Ahead
2010-01-24 20:17 . 2010-01-24 20:15 -------- d-----w- d:\program files\BlueSoleil
2010-01-23 22:34 . 2010-01-23 22:31 -------- d-----w- d:\program files\Common Files\Adobe
2010-01-23 22:01 . 2010-01-23 22:01 -------- d-----w- d:\program files\Nero
2010-01-23 21:31 . 2010-01-23 21:03 -------- d-----w- d:\program files\Avast4
2010-01-23 20:43 . 2010-01-23 20:43 -------- d-----w- d:\program files\microsoft frontpage
2010-01-23 20:39 . 2010-01-23 20:39 21812 ----a-w- d:\windows\system32\emptyregdb.dat
2010-01-23 20:39 . 2010-01-23 20:39 -------- d-----w- d:\program files\Windows Media Connect 2
2009-12-31 16:50 . 2008-04-13 22:45 353792 ----a-w- d:\windows\system32\drivers\srv.sys
2009-12-21 19:08 . 2008-08-08 15:43 916480 ------w- d:\windows\system32\wininet.dll
2009-12-17 16:14 . 2010-01-24 23:02 411368 ----a-w- d:\windows\system32\deploytk.dll
2009-12-17 07:42 . 2010-01-23 20:38 343552 ----a-w- d:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2008-04-14 06:51 33280 ----a-w- d:\windows\system32\csrsrv.dll
2009-12-09 10:11 . 2008-04-14 08:06 2068224 ------w- d:\windows\system32\ntkrnlpa.exe
2009-12-09 10:11 . 2008-04-14 06:07 2191360 ------w- d:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2008-04-13 22:47 455424 ----a-w- d:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[-] 2008-08-08 . 1E603EA2A3FDBAE9E5B88A8CB3C03124 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-02-27_12.39.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-27 18:40 . 2010-02-27 18:40 16384 d:\windows\Temp\Perflib_Perfdata_4cc.dat
+ 2010-02-27 18:41 . 2010-02-27 18:41 16384 d:\windows\Temp\Perflib_Perfdata_2c4.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="d:\program files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-12-16 94208]
"VisualTaskTips"="d:\program files\VisualTaskTips\VisualTaskTips.exe" [2008-06-22 65536]
"EVEREST AutoStart"="d:\program files\EVEREST Ultimate Edition\everest.exe" [2009-02-04 2350176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"nwiz"="nwiz.exe" [2007-12-05 1626112]
"NvMediaCenter"="NvMCTray.dll" [2007-12-05 81920]
"avast!"="d:\progra~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"BtTray"="d:\program files\BlueSoleil\BtTray.exe" [2009-02-27 278016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-02-11 09:56 133368 ----a-w- d:\program files\ICQ7.0\ICQ.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\BlueSoleil\\BlueSoleilCS.exe"=
"d:\\Program Files\\ICQ7.0\\ICQ.exe"=
"d:\\Program Files\\ICQ7.0\\aolload.exe"=
"d:\\WINDOWS\\system32\\dpvsetup.exe"=
"f:\\Nainstalováný Softwéry\\track mania national forever\\TmNationsForever\\TmForever.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;d:\windows\system32\drivers\BtHidBus.sys [7.1.2009 23:39 20744]
R1 aswSP;avast! Self Protection;d:\windows\system32\drivers\aswSP.sys [23.1.2010 22:03 114768]
R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [23.1.2010 22:03 20560]
R2 BsMobileCS;BsMobileCS;d:\program files\BlueSoleil\BsMobileCS.exe [27.2.2009 16:40 143467]
R3 btnetBUs;Bluetooth PAN Bus Service;d:\windows\system32\drivers\btnetBus.sys [7.12.2008 12:44 30088]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\EVEREST Ultimate Edition\kerneld.wnt [5.2.2010 8:14 26224]
R3 IvtBtBUs;IVT Bluetooth Bus Service;d:\windows\system32\drivers\IvtBtBus.sys [2.7.2008 14:58 26248]
R3 vmmouse;VMware Pointing Device;d:\windows\system32\drivers\vmmouse.sys [23.1.2010 22:25 11696]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - EVERESTDRIVER
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Send by Bluetooth - d:\program files\BlueSoleil\TransSend\IE\tsinfo.htm
IE: Send via &Message... - d:\program files\BlueSoleil\TransSend\IE\tssms.htm
IE: {{88EB38EF-4D2C-436D-ABD3-56B232674062} - d:\program files\ICQ7.0\ICQ.exe
FF - ProfilePath - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\1hokz0pl.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - plugin: d:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: d:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll

---- NASTAVENÍ FIREFOXU ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-27 19:41
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\d:\program files\EVEREST Ultimate Edition\kerneld.wnt"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(2144)
d:\program files\VisualTaskTips\VttHooks.dll
d:\progra~1\WINDOW~2\wmpband.dll
d:\windows\system32\webcheck.dll
d:\windows\system32\wpdshserviceobj.dll
d:\windows\system32\BsMobileSDK.dll
d:\windows\system32\BsLangInDepRes.dll
d:\windows\system32\Bs2Res.dll
d:\windows\system32\portabledevicetypes.dll
d:\windows\system32\portabledeviceapi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
d:\program files\Avast4\aswUpdSv.exe
d:\program files\Avast4\ashServ.exe
d:\program files\BlueSoleil\BlueSoleilCS.exe
d:\program files\Common Files\InterVideo\DeviceService\DevSvc.exe
d:\documents and settings\All Users\Data aplikací\EPSON\EPW!3 SSRP\E_S40RP7.EXE
d:\program files\Java\jre6\bin\jqs.exe
d:\windows\system32\nvsvc32.exe
d:\windows\system32\RunDLL32.exe
d:\program files\Avast4\ashMaiSv.exe
d:\program files\Avast4\ashWebSv.exe
d:\program files\BlueSoleil\BsHelpCS.exe
d:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Celkový čas: 2010-02-27 19:43:22 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-27 18:43
ComboFix2.txt 2010-02-27 12:40

Před spuštěním: 2 483 290 112
Po spuštění: 2 440 224 768

- - End Of File - - 41E4078CB38B3DDB765D6E4A362D4587

a konečně výsledek testování souboru d:\windows\system32\sfcfiles.dll:
************************************************************************************

Soubor sfcfiles.dll přijatý 2010.02.27 19:10:10 (UTC)

Výsledek: 0/42 (0%)

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.02.27 -
AhnLab-V3 5.0.0.2 2010.02.27 -
AntiVir 8.2.1.176 2010.02.26 -
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.27 -
Avast 4.8.1351.0 2010.02.27 -
Avast5 5.0.332.0 2010.02.27 -
AVG 9.0.0.730 2010.02.26 -
BitDefender 7.2 2010.02.27 -
CAT-QuickHeal 10.00 2010.02.27 -
ClamAV 0.96.0.0-git 2010.02.27 -
Comodo 4085 2010.02.27 -
DrWeb 5.0.1.12222 2010.02.27 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7331 2010.02.26 -
F-Prot 4.5.1.85 2010.02.27 -
F-Secure 9.0.15370.0 2010.02.27 -
Fortinet 4.0.14.0 2010.02.27 -
GData 19 2010.02.27 -
Ikarus T3.1.1.80.0 2010.02.27 -
Jiangmin 13.0.900 2010.02.27 -
K7AntiVirus 7.10.984 2010.02.26 -
Kaspersky 7.0.0.125 2010.02.27 -
McAfee 5905 2010.02.27 -
McAfee+Artemis 5905 2010.02.27 -
McAfee-GW-Edition 6.8.5 2010.02.27 -
Microsoft 1.5502 2010.02.27 -
NOD32 4900 2010.02.27 -
Norman 6.04.08 2010.02.27 -
nProtect 2009.1.8.0 2010.02.27 -
Panda 10.0.2.2 2010.02.27 -
PCTools 7.0.3.5 2010.02.27 -
Prevx 3.0 2010.02.27 -
Rising 22.36.05.04 2010.02.27 -
Sophos 4.50.0 2010.02.27 -
Sunbelt 5702 2010.02.27 -
Symantec 20091.2.0.41 2010.02.27 -
TheHacker 6.5.1.6.213 2010.02.27 -
TrendMicro 9.120.0.1004 2010.02.27 -
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.27.2206 2010.02.27 -
VirusBuster 5.0.27.0 2010.02.27 -
Rozšiřující informace
File size: 1571840 bytes
MD5...: 1e603ea2a3fdbae9e5b88a8cb3c03124
SHA1..: 5385e5ae86f23e997f7e163bb50f9c3d1e4700ce
SHA256: 7ab31194c162ee4411168a3016f99540735decd6267848a0401a4633ef28acd6
ssdeep: 3072:vH+SebH/3EwKAPPrSMpxo7KmKo2IgYohuFII4K83y7v+152+MAVIv3eNrCW
:vco8ppx2K+RFnEyD+vHErW
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x120d
timedatestamp.....: 0x48025231 (Sun Apr 13 18:34:25 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xcbf 0xe00 5.89 ccd83c1e26e262720c731cb56f817e7b
.data 0x2000 0x1744a8 0x174600 3.26 e86b3aa864cf445485608059f5a8f395
.rsrc 0x177000 0x408 0x600 2.49 d801e5df1215023e9c2b4a081bd7cb32
.reloc 0x178000 0x9cfc 0x9e00 5.77 7a58ceb675c48048ea9a69c7643e68d2

( 1 imports )
> ntdll.dll: LdrDisableThreadCalloutsForDll, NtClose, NtQueryValueKey, NtOpenKey, RtlInitUnicodeString, RtlGetVersion, NtTerminateProcess, RtlUnhandledExceptionFilter, RtlUnwind, NtQueryVirtualMemory

( 1 exports )
SfcGetFiles
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Windows 2000 System File Checker
original name:
internal name:
file version.: 5.1.2600.5512 (xpsp.080413-2111)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Snad sem na nic nezapomněl.

[jaro3]

d:\program files\SRDownloader.exe --tady Ti asi ten soubor stejně není nic platný, buď má být v adresáři SRDownloader a nebo v system 32, tam plní funkci .

Vypni si rez.ochrany i firewall.
Stáhni si Dr. Web CureIt
dej update , po aktualizaci dej start.
Tlacitky dole muzeš soubor léčit, smazat, přesunout nebo přejmenovat


ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

vyčisti systém CCleanerem

a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš

pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG či Avast, následně T-Cleaner smaž a zapni si AVG či Avast.


Nic tam již nevidím..

[Jan Pašek]

Požadované úkony provedeny.
Jaro dost se to zlepšilo nyní ještě pohledám jak vypnout BlueSorel a by bootoval jen pokud chci a ne při každém startu.
SRDownloader.exe je samostatně stažitelný soubor bez instalátoru kam jej prskneš tam po spuštění běhá jen si vytvoří ve stejné složce nastavovací soubor.
aby se nemotal jinde jde o program nacpal sem jej tedy do Program Files jen sem mu již nedělal složku. stejně tak volně mám v Program Files USB Eject.

[Jan Pašek]

BlueSoleil vyřešeno vrátil jsem se k verzi 3.2, která jde
a) počeštit
b) pro spuštění instaluje ikonu do adresáře po spuštění tak jsem jí jen vymazal

[jaro3]

Fajn.

Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.

[Jan Pašek]

JJ