Vytížení PC:100% opět Vyřešeno

[Damned]

Odinstaluj ComboFix.
ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u

Podle návodu si stáhni nový Combofix na Plochu a přetáhni přes něj ten skript.

[Reklama]

[Dejvid_1]

ok

[Dejvid_1]

ComboFix 09-10-08.04 - Milan 10.10.2009 17:36.8.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1535.1049 [GMT 2:00]
Spuštěný z: c:\documents and settings\Milan\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Milan\Plocha\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FILE ::
"c:\docume~1\Milan\LOCALS~1\Temp\XIK5.tmp"
"c:\windows\Eurobattle.net"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ctfmon .exe

c:\windows\system32\lsass.exe . . . je infikován!!

c:\windows\system32\svchost.exe . . . je infikován!!

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GARENAPENGINE
-------\Legacy_GETPLUSHELPER
-------\Service_getPlusHelper


((((((((((((((((((((((((( Soubory vytvořené od 2009-09-10 do 2009-10-10 )))))))))))))))))))))))))))))))
.

2009-10-09 20:43 . 2008-05-15 23:15 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-10-09 20:42 . 2008-05-15 23:14 42912 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-10-09 20:42 . 2008-05-15 23:13 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-10-09 20:42 . 2008-05-15 23:12 95608 ----a-w- c:\windows\system32\AvastSS.scr
2009-10-09 20:42 . 2008-05-15 23:20 78416 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-10-09 20:42 . 2008-05-15 23:18 94416 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-10-09 20:42 . 2008-05-15 23:16 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-10-09 20:42 . 2008-01-17 16:34 93264 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-10-09 20:42 . 2008-05-15 23:24 1152888 ----a-w- c:\windows\system32\aswBoot.exe
2009-10-09 20:42 . 2009-10-09 20:42 -------- d-----w- c:\program files\Alwil Software
2009-10-09 19:50 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-09 19:50 . 2009-10-09 19:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-09 19:50 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-03 11:07 . 2009-10-03 11:07 -------- d-sh--w- c:\documents and settings\Milan\PrivacIE
2009-10-02 17:35 . 2009-10-02 17:35 -------- d-sh--w- c:\documents and settings\Milan\IETldCache
2009-10-02 12:44 . 2009-10-02 12:44 -------- d-----w- c:\windows\ie8updates
2009-10-02 12:39 . 2009-10-02 12:42 -------- dc-h--w- c:\windows\ie8
2009-10-02 12:31 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-02 12:31 . 2009-07-03 16:59 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-02 12:31 . 2009-07-03 16:59 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-02 11:55 . 2009-10-02 11:55 -------- d-----w- c:\program files\Yamicsoft
2009-10-02 04:12 . 2008-04-14 12:00 512000 ----a-w- c:\windows\system32\winlogon.exe
2009-09-29 15:57 . 2009-09-29 15:57 -------- d-----w- c:\windows\Servicepackfiles
2009-09-28 15:30 . 2009-09-28 15:30 -------- d-----w- c:\program files\FCleaner
2009-09-28 14:40 . 2009-09-28 14:40 -------- d-----w- c:\documents and settings\Milan\SmitfraudFix
2009-09-28 14:38 . 2009-09-28 14:38 -------- d-----w- c:\program files\Trend Micro
2009-09-28 07:22 . 2009-09-28 07:35 -------- d-----w- c:\program files\Security Task Manager
2009-09-27 18:52 . 2009-09-27 18:52 -------- d-----w- c:\program files\Common Files\Corel
2009-09-27 18:41 . 2009-09-27 20:00 -------- d-----w- c:\program files\Corel
2009-09-27 18:32 . 2009-09-27 19:36 27136 ----a-w- c:\documents and settings\Milan\soundman.exe
2009-09-27 08:02 . 2009-09-27 08:02 -------- d-----w- c:\program files\Realtek AC97
2009-09-22 20:12 . 2009-09-22 20:12 -------- d-----w- C:\Nová složka
2009-09-12 20:09 . 2009-09-19 10:21 -------- d-----w- c:\program files\IObit

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-10 15:30 . 2009-07-08 08:13 -------- d-----w- c:\program files\SysMetrix
2009-10-09 19:09 . 2009-01-17 10:40 138808 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-10-09 19:08 . 2009-01-17 10:39 190144 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-10-02 17:50 . 2009-05-05 12:17 -------- d-----w- c:\program files\EA GAMES
2009-09-27 21:45 . 2009-05-22 16:26 -------- d-----w- c:\program files\Common Files\Real
2009-09-27 21:44 . 2009-05-13 15:29 -------- d-----w- c:\program files\VstPlugins
2009-09-27 21:44 . 2009-05-13 15:26 -------- d-----w- c:\program files\Image-Line
2009-09-26 15:10 . 2009-01-17 10:39 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-09-25 12:29 . 2008-10-29 15:05 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-25 12:03 . 2008-10-29 20:48 -------- d-----w- c:\program files\Winamp
2009-09-19 14:35 . 2008-12-02 20:01 140038 ----a-w- c:\windows\War3Unin.dat
2009-09-19 10:36 . 2008-11-15 20:31 -------- d-----w- c:\program files\Teamspeak2_RC2
2009-09-13 08:04 . 2009-01-17 16:48 -------- d-----w- c:\program files\HLSW
2009-09-11 12:00 . 2009-07-01 14:16 -------- d-----w- c:\program files\Microsoft Silverlight
2009-09-02 18:12 . 2009-07-24 10:52 -------- d-----w- c:\program files\Winferno
2009-08-28 12:28 . 2008-11-01 09:31 -------- d-----w- c:\program files\Java
2009-08-27 11:04 . 2009-08-27 11:04 -------- d-----w- c:\program files\Hamachi
2009-08-27 11:04 . 2008-12-04 16:30 16224 ----a-w- c:\windows\system32\drivers\hamachi.sys
2009-08-06 17:24 . 2008-10-29 14:44 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2008-10-29 14:44 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2008-10-29 14:44 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 17:24 . 2007-07-30 18:19 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2008-10-29 14:44 53472 ------w- c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2008-04-14 12:00 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2008-10-29 14:44 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2008-10-31 18:39 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2008-10-31 18:39 215920 ----a-w- c:\windows\system32\muweb.dll
2009-08-06 17:23 . 2008-10-29 14:44 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 09:01 . 2008-04-14 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-25 03:23 . 2008-11-01 09:31 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:04 . 2008-04-14 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E1C0AF52B513FB900C4148A592C2DBB8 . 14848 . . [5.1.2600.5512] . . c:\windows\system32\lsass.exe


[-] 2008-04-14 . 7E6B9D93A2A105F36177D5163FCBB478 . 17408 . . [5.1.2600.5512] . . c:\windows\system32\svchost.exe

[-] 2008-04-14 . 30D190DE29B885455ECBB1C8C58B5825 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

c:\windows\system32\spoolsv.exe ... chybí !!
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2009-10-10 27136]
"SysMetrix"="c:\program files\SysMetrix\SysMetrix.exe" [2009-10-10 27136]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-10-10 27136]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-10-07 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Milan\Nabˇdka Start\Programy\Po spuçtŘnˇ\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]

[HKLM\~\startupfolder\C:^Documents and Settings^Milan^Nabídka Start^Programy^Po spuštění^PowerReg Scheduler V3.exe]
path=c:\documents and settings\Milan\Nabídka Start\Programy\Po spuštění\PowerReg Scheduler V3.exe
backup=c:\windows\pss\PowerReg Scheduler V3.exeStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"FTweakFCleaner"=c:\program files\FCleaner\FCleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Games Files\\Valve\\hl.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Games Files\\Valve\\hlds.exe"=
"c:\\Games Files\\WRFT3\\Warcraft III\\Warcraft III.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\HLSW\\hlsw.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Games Files\\WRFT3\\Warcraft III\\war3.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\Program Files\\Hamachi\\hamachi.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.5.2009 15:47 107256]
R2 BT848;WinFast TV2000 XP WDM Video Capture;c:\windows\system32\drivers\wf2kvcap.sys [29.10.2008 17:15 76373]
R2 IS360service;IS360service;c:\program files\IObit\IObit Security 360\is360srv.exe [19.9.2009 12:21 305936]
R2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [29.10.2008 17:15 32631]
R2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;c:\windows\system32\drivers\wf2kXbar.sys [29.10.2008 17:15 10005]
R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [29.10.2008 17:20 9510]
S2 ekrn;ESET Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" --> c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Obsah adresáře 'Naplánované úlohy'

2009-10-10 c:\windows\Tasks\Italobrothers - Stamp on the ground.job
- c:\documents and settings\Milan\Plocha\mp3\Nirvana\Nevermind\08-Nirvana-Drain_You.mp3 [2009-07-13 11:27]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Milan\Data aplikací\Mozilla\Firefox\Profiles\rtun255r.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... id=afex&q=
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.chrome.favicons - fales
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autofill - true
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 750000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 750000
FF - user.js: network.http.max-connections - 48
FF - user.js: network.http.max-connections-per-server - 16
FF - user.js: network.http.max-persistent-connections-per-proxy - 16
FF - user.js: network.http.max-persistent-connections-per-server - 8
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.firstrequest - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 0
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-Eurobattle.net - c:\windows\Eurobattle.net



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-10 17:52
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\SHDOCVW.dll
c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\program files\SysMetrix\sysmetrix .exe
c:\program files\WinFast\WFTVFM\wfwiz .exe
c:\progra~1\ALWILS~1\Avast4\ashdisp .exe
c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe
c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
c:\docume~1\Milan\LOCALS~1\Temp\ctv461.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Celkový čas: 2009-10-10 18:01 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-10-10 16:01
ComboFix2.txt 2009-10-09 22:01

Před spuštěním: Volných bajtů: 17 709 547 520
Po spuštění: Volných bajtů: 17 643 782 144

255 --- E O F --- 2009-10-03 21:41

[Damned]

Stáhni si Dial-a-fix
Klikni na kladívko-další možnosti:
SFC scan - Spustí nástroj pro kontrolu systémových souborů (případná potřeba instalačního media Windows).
Klikni na službu a potom na GO.
Měl by nahradit nakažené soubory z CD.

[Dejvid_1]

Provedeno, jen akorát párkrat jsem musel dat storno... na nejakou chybu, požadovalo to po me CD xp prof.

[Damned]

Spusť tedy Combofix a vlož mi sem log.

[Dejvid_1]

ComboFix.rar

Log z ComboFixu

(20.11 KiB) Staženo 10 x

[Damned]

Přiložený archív extrahuj nejdříve do složky c:\windows\system32\dllcache . Pak si stáhni instalátor avastu (český) z oficiálního webu.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok).
Zkopíruj do něj následující celý text označený zeleně:

File::
c:\windows\system32\drivers\ehdrv.sys

Folder::
c:\program files\ESET

DDS::
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... id=afex&q=

Driver::
ehdrv;ehdrv
ehdrv
ekrn;ESET Service
ekrn




Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix, oprava může trvat i déle než 10 minut. ! Nech ComboFix dokončit svou práci !
- Vlož sem log, který vyběhne v závěru čistícího procesu.

[Dejvid_1]

Nemuzu je prekopirovat, protoze jsou používany, pomůže nouzový režim?

[Damned]

Když dáš v nabídce (pravým myšem) "Extrahovat soubory...." a najdeš složku tak ti to napíše , že nelze extrahovat? Pokud je máš v tom archívu, tak ti to nemůže napsat.

[Dejvid_1]

Mno.. dám extrahovat soubory do Win/sys32 dám OK(na přepsat soubory) a winrar : diagnistikuje - proces nemá přístup k souboru, nebot jej práve využívá jiný proces.

[Dejvid_1]

tohle je ten log, ale ty souboty jsem stale ne extrahoval