Prosím o kontrolu (problém-svchost.exe)

[Michalkalensky]

tady to je :)

ComboFix 13-10-04.02 - Michal 05.10.2013 9:41.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1535.1078 [GMT 2:00]
Spuštěný z: c:\documents and settings\Michal\Dokumenty\Stažené soubory\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-09-05 do 2013-10-05 )))))))))))))))))))))))))))))))
.
.
2013-09-28 15:20 . 2013-09-28 15:20 -------- d-----r- C:\MSOCache
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-08-30 07:47 121968 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2013-07-03 3673184]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-07-25 20684656]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 222080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-08-02 7110656]
"nwiz"="nwiz.exe" [2005-08-02 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-08-02 86016]
"CHotkey"="mHotkey.exe" [2002-07-29 473088]
"ledpointer"="CNYHKey.exe" [2002-10-04 532992]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-08-30 4858968]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-04-04 446392]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS6ServiceManager"="c:\program files\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-03-09 1073312]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R0 aswRvrt;aswRvrt;c:\windows\system32\drivers\aswRvrt.sys [28.9.2013 11:56 49376]
R0 aswVmm;aswVmm;c:\windows\system32\drivers\aswVmm.sys [28.9.2013 11:56 177864]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.9.2013 11:55 715248]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [28.9.2013 11:24 770344]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [28.9.2013 11:24 369584]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [28.9.2013 11:08 243128]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28.9.2013 11:24 29816]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [28.9.2013 11:56 66336]
R3 AR9271;Wireless Network Adapter Service;c:\windows\system32\drivers\athuw.sys [28.9.2013 10:42 1763584]
R3 JSWSCIMD;jswscimd Service;c:\windows\system32\drivers\jswscimd.sys [28.9.2013 10:43 57440]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [28.9.2013 11:53 47360]
S3 jswpsapi;JumpStart Wi-Fi Protected Setup;c:\program files\TP-LINK\TP-LINK Wireless Configuration Utility\WPS\jswpsapi.exe [28.9.2013 10:43 360529]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28.9.2013 12:20 40776]
S3 SwitchBoard;Adobe SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [19.2.2010 13:37 517096]
.
Obsah adresáře 'Naplánované úlohy'
.
2013-10-04 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-09-28 16:34]
.
2013-10-05 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2013-09-28 07:47]
.
.
------- Doplňkový sken -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Od&eslat do aplikace OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Michal\Data aplikací\Mozilla\Firefox\Profiles\mo7rzp5h.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
FF - ExtSQL: 2013-09-28 10:46; {ea614400-e918-4741-9a97-7a972ff7c30b}; c:\documents and settings\Michal\Data aplikací\Mozilla\Firefox\Profiles\mo7rzp5h.default\extensions\{ea614400-e918-4741-9a97-7a972ff7c30b}
FF - ExtSQL: 2013-09-28 11:23; wrc@avast.com; c:\program files\AVAST Software\Avast\WebRep\FF
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-AdobeBridge - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-10-05 09:48
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Celkový čas: 2013-10-05 09:50:51
ComboFix-quarantined-files.txt 2013-10-05 07:50
.
Před spuštěním: Volných bajtů: 93 932 597 248
Po spuštění: Volných bajtů: 93 993 238 528
.
- - End Of File - - 1D675F253F2B9124E6099D7E0EF81C34
413FC2A0C716421B3158746D63736515

[Reklama]

[jaro3]

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

Vyčisti systém CCleanerem

Stáhni si OTC

na plochu. Poklepej na něj. Potom klikni na Clean up!.
Restartuj PC , pokud Ti bude doporučeno.

Co problémy?

[Michalkalensky]

vždyt to už jsem také dělal přeci nekolikrát ale dobře zkusím ještě jednou :)

[Michalkalensky]

restartoval se pc a pak zase znovu naběhl svchost.exe a furt zabírá 100% cpu to opravdu všichni nevíte co mám dělat dále abych se toho zbavil? :)

[memphisto]

V logu právě není vidět nic abnormálního... Je to legální Win?

[Michalkalensky]

ano je to legální windows xp home edition sp2 a pak jsem ručně instaloval sp3 :( Tak co mám tedy dělat? :(

[Orcus]

Tohle smrdí TDL4 rootkitem.

Takže poprosím o výstup z Gmeru:

1) Stahnete nastroj Gmer zde:
http://gmer.net/gmer.zip

2) Prejmenujte nastroj Gmer:
- Ulozte archiv na Vas pocitac a extrahujte jej.
- Jakmile archiv extrahujete, prejmenujte jej z "Gmer.exe" na "Tool.exe".
- Spustte soubor "Tool.exe".
- V pravem dolnim rohu stisknete tlacitko "Scan".
- Po dokonceni scanovani Vaseho pocitace zmacknete tlacitko "Save..." k ulozeni vysledku do souboru

+ log z OTL:

Stáhni si OTL by OldTimer
na plochu. Ujisti se , že máš zavřena všechna ostatní okna a poklepej na ikonu OTL.Nahoře v okně pod Výstup klikni na minimální výstup.Pod Běžné registry změň na Vše. Zatrhni Kontrola na havěť “LOP“ a Kontrola na havěť “ Purity“ . Klikni na Prohledat. Všechny ostatní nastavení ponech jak jsou. Sken může trvat dlouho, až skončí otevřou se dva logy:
OTL.Txt
Extras.Txt
Jsou uloženy ve stejném místě jako OTL. Oba logy sem prosím zkopíruj.

+ log z TDSS

Stáhni si TDSSKiller

Na svojí plochu. Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.

[Michalkalensky]

všechno se to sem nevejde :( Jak to sem mám dát? Nevejde se sem ani jeden log :(

[fredik]

Rozděl logy na více příspěvků.

Jak je to dlouho co jsi doinstaloval SP3?

[Michalkalensky]

ihned co jsem doinstaloval SP3 tak hned začal běžet ten svchost.exe na 100 cpu :( A hned jsem napsal sem takže to bylo 26.9.2013 :)
Ale on se sem nevejde ani jeden log :( A přípona txt sem taky nejde :( Zkusím to dát třeba do office

logy.docx

(72.89 KiB) Staženo 7 x

[guest]

Ten log musíš rozdělit na díly a dát sem. Jako 2 nebo 3 odpovědi.

[Michalkalensky]

máte to tam