Preventivní k.+Snížení počtu procesů spušť.při startu Vyřešeno

[Jan Pašek]

Poprosil bych o preventivní kontrolu logu a dále nevím jak odstavit BlueSorell (ovládací program pro MSI BluTu) aby se bootoval až poklepáním na zástupce nikoli při startu.
Bo PC při stratu drží ještě 2 minuty po tom co Win zahrají že jsou k používání vytížení CPU na 100%
Vše potřebné je myslím v přílohách včetně Hijack logu

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 9:39:46, on 27.2.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Avast4\aswUpdSv.exe
D:\Program Files\Avast4\ashServ.exe
D:\WINDOWS\system32\RunDLL32.exe
D:\PROGRA~1\Avast4\ashDisp.exe
D:\Program Files\BlueSoleil\BtTray.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
D:\Program Files\VisualTaskTips\VisualTaskTips.exe
D:\Program Files\EVEREST Ultimate Edition\everest.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\BlueSoleil\BlueSoleilCS.exe
D:\Program Files\BlueSoleil\BsMobileCS.exe
D:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
D:\WINDOWS\system32\cisvc.exe
D:\Documents and Settings\All Users\Data aplikací\EPSON\EPW!3 SSRP\E_S40RP7.EXE
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\BlueSoleil\BsHelpCS.exe
D:\Program Files\Avast4\ashMaiSv.exe
D:\Program Files\Avast4\ashWebSv.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\WINDOWS\system32\cidaemon.exe
D:\Program Files\MWSnap\MWSnap.exe
D:\WINDOWS\system32\msiexec.exe
D:\Program Files\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BtTray] "D:\Program Files\BlueSoleil\BtTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [VisualTaskTips] D:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "D:\WINDOWS\TEMP\E_SD5.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EVEREST AutoStart] D:\Program Files\EVEREST Ultimate Edition\everest.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send by Bluetooth - D:\Program Files\BlueSoleil\TransSend\IE\tsinfo.htm
O8 - Extra context menu item: Send via &Message... - D:\Program Files\BlueSoleil\TransSend\IE\tssms.htm
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\WINDOWS\system32\skype4com.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Avast4\ashWebSv.exe
O23 - Service: BlueSoleilCS - Unknown owner - D:\Program Files\BlueSoleil\BlueSoleilCS.exe
O23 - Service: BsHelpCS - Unknown owner - D:\Program Files\BlueSoleil\BsHelpCS.exe
O23 - Service: BsMobileCS - Unknown owner - D:\Program Files\BlueSoleil\BsMobileCS.exe
O23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - D:\Documents and Settings\All Users\Data aplikací\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7431 bytes

/upraveno, přidám vyextrahovaný log. memphisto

[Reklama]

[autoprd]

Tak zaprvé nečiný procesy nezatěžujou 100% cpu xD Vytížení máš dole 2%.
Za druhé HiJackThis log davej sem a ne do raru.!

[Jan Pašek]

Vytížení CPU100% je při startu. Pokud čteš popisky k přílohám screen ze správce úloh byl pořízen za běžného provozu! Dále uznávám že zabalený log není přístupný na první pohled ale téma je mnohem přehlednější. Ten kdo chce pomoci snad obětuje i těch 5 sekund navrch na jeho vybalení.
Takže kdo chce prudit můžete já to nějak ustojím ale já chtěl pomoct!

[autoprd]

Tak spusť HiJackThis pro tentokrát vyber Do a system scan only!
Zatrhni položky, které jsou níže uvedené a stiskni Fix checked.

Kód: Vybrat vše

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab


A počkej až dokončí svůj proces, poté program vypni.

[autoprd]

Stáhni si ATF Cleaner
Spust a stiskni na select all found
Jestli jedeš přes Mozilu Firefox klikni na Firefox nahoře a vyber: Select All, potom klikni na Empty Selected.
Jestli jedeš přes Operu klikni nahoře na Operu a vyber: Select All, potom klikni na Empty Selected.
Až se to vyčistí klikni na exit pro ukončení.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[Jan Pašek]

27.2.2010 12:45:57
mbam-log-2010-02-27 (12-45-44).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 109222
Uplynulý čas: 4 minute(s), 21 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 1
Infikované adresáře: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)

[autoprd]

Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit
Můžeš sem pak vložit log z MbAM.

[autoprd]

Vypni rez. ochrany antiviru+deaktivuj firewall.
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Jan Pašek]

27.2.2010 13:20:16
mbam-log-2010-02-27 (13-20-16).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 109224
Uplynulý čas: 3 minute(s), 14 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 1
Infikované adresáře: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)

[autoprd]

Ještě ten ComboFix

[Jan Pašek]

ComboFix 10-02-26.03 - Spravce 27.02.2010 13:34:58.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.639 [GMT 1:00]
Spuštěný z: d:\documents and settings\Spravce\Plocha\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100227-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\recycler\S-1-5-21-2025429265-823518204-725345543-1004
d:\windows\install.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-27 do 2010-02-27 )))))))))))))))))))))))))))))))
.

2010-02-27 11:35 . 2010-01-07 15:07 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2010-02-27 11:35 . 2010-01-07 15:07 19160 ----a-w- d:\windows\system32\drivers\mbam.sys
2010-02-27 11:35 . 2010-02-27 11:35 -------- d-----w- d:\program files\Malwarebytes' Anti-Malware
2010-02-22 22:35 . 2010-02-22 22:35 -------- d-----w- d:\documents and settings\LocalService\Plocha
2010-02-22 18:58 . 2010-02-22 18:58 -------- d-sh--w- d:\documents and settings\Spravce\IECompatCache
2010-02-17 06:23 . 2010-02-17 06:23 -------- d-----w- d:\program files\Common Files\Java
2010-02-14 09:02 . 2010-02-14 09:02 45 ---h--w- d:\windows\dsys6668.dat
2010-02-12 17:32 . 2010-02-25 15:12 -------- d-----w- d:\program files\US_Downloader
2010-02-12 09:06 . 2010-02-13 07:35 -------- d-----w- d:\windows\SxsCaPendDel
2010-02-12 09:05 . 2010-02-12 09:07 -------- d-----w- d:\program files\CDex
2010-02-11 11:51 . 1998-10-29 14:45 306688 ----a-w- d:\windows\IsUninst.exe
2010-02-09 21:36 . 2010-02-09 21:36 -------- d-sh--w- d:\documents and settings\NetworkService\IETldCache
2010-02-07 13:04 . 2008-03-29 00:36 499200 ----a-w- d:\program files\USB_Disk_Eject.exe
2010-02-07 12:49 . 2010-02-07 12:49 -------- d--h--w- d:\windows\system32\GroupPolicy
2010-02-06 11:38 . 2010-02-06 11:41 -------- d-----w- d:\windows\system32\NtmsData
2010-02-05 12:14 . 2006-06-20 08:56 225280 ----a-w- d:\windows\system32\rewire.dll
2010-02-05 12:14 . 2010-02-05 12:15 -------- d-----w- d:\program files\Image-Line
2010-02-05 07:46 . 2010-02-15 15:35 475136 ----a-w- d:\program files\SRDownloader.exe
2010-02-05 07:14 . 2010-02-05 07:22 -------- d-----w- d:\program files\EVEREST Ultimate Edition
2010-02-05 06:41 . 2010-02-05 06:50 -------- d-----w- d:\program files\Motherboard Monitor 5
2010-01-28 20:27 . 2010-01-28 20:27 -------- d-----w- d:\windows\Sun

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-27 10:54 . 2010-02-05 07:48 2984 ----a-w- d:\program files\SRDownloader.nast
2010-02-27 08:22 . 2010-01-24 23:26 -------- d-----w- d:\program files\CCleaner
2010-02-23 20:48 . 2010-01-24 22:04 -------- d--h--w- d:\program files\InstallShield Installation Information
2010-02-22 19:03 . 2010-01-24 21:24 -------- d-----w- d:\program files\Defraggler
2010-02-18 18:18 . 2010-01-24 22:04 -------- d-----w- d:\program files\ICQ7.0
2010-02-17 06:23 . 2010-01-24 23:02 -------- d-----w- d:\program files\Java
2010-02-13 21:04 . 2001-10-25 12:00 46196 ----a-w- d:\windows\system32\perfc005.dat
2010-02-13 21:04 . 2001-10-25 12:00 309990 ----a-w- d:\windows\system32\perfh005.dat
2010-02-06 10:32 . 2010-01-23 20:41 86327 ----a-w- d:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-06 10:32 . 2010-01-23 20:41 2426 ----a-w- d:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2010-02-06 10:30 . 2010-01-23 20:42 8972 ----a-w- d:\windows\pchealth\helpctr\Config\Cntstore.bin
2010-02-04 07:57 . 2010-01-24 23:38 -------- d-----w- d:\program files\MWSnap
2010-01-28 16:37 . 2010-01-24 23:15 -------- d-----w- d:\program files\Common Files\InstallShield
2010-01-25 21:35 . 2010-01-24 23:32 -------- d-----w- d:\program files\Wise Registry Cleaner
2010-01-25 20:59 . 2010-01-25 20:58 -------- d-----w- d:\program files\epson
2010-01-24 23:45 . 2010-01-24 23:10 -------- d-----w- d:\program files\totalcmd
2010-01-24 23:39 . 2010-01-24 23:39 -------- d-----w- d:\program files\VisualTaskTips
2010-01-24 23:24 . 2010-01-24 23:24 -------- d-----w- d:\program files\AVIcodec
2010-01-24 23:15 . 2010-01-24 23:15 -------- d-----w- d:\program files\Common Files\InterVideo
2010-01-24 23:15 . 2010-01-24 23:15 -------- d-----w- d:\program files\Windows Media Components
2010-01-24 23:03 . 2010-01-24 23:03 -------- d-----w- d:\program files\VistaCodecPack
2010-01-24 22:10 . 2010-01-24 22:10 0 ----a-w- d:\windows\nsreg.dat
2010-01-24 21:44 . 2010-01-24 21:43 -------- d-----w- d:\program files\Ant Movie Catalog
2010-01-24 20:48 . 2010-01-23 22:01 -------- d-----w- d:\program files\Common Files\Ahead
2010-01-24 20:17 . 2010-01-24 20:15 -------- d-----w- d:\program files\BlueSoleil
2010-01-23 22:34 . 2010-01-23 22:31 -------- d-----w- d:\program files\Common Files\Adobe
2010-01-23 22:01 . 2010-01-23 22:01 -------- d-----w- d:\program files\Nero
2010-01-23 21:31 . 2010-01-23 21:03 -------- d-----w- d:\program files\Avast4
2010-01-23 20:43 . 2010-01-23 20:43 -------- d-----w- d:\program files\microsoft frontpage
2010-01-23 20:39 . 2010-01-23 20:39 21812 ----a-w- d:\windows\system32\emptyregdb.dat
2010-01-23 20:39 . 2010-01-23 20:39 -------- d-----w- d:\program files\Windows Media Connect 2
2009-12-31 16:50 . 2008-04-13 22:45 353792 ----a-w- d:\windows\system32\drivers\srv.sys
2009-12-21 19:08 . 2008-08-08 15:43 916480 ----a-w- d:\windows\system32\wininet.dll
2009-12-17 16:14 . 2010-01-24 23:02 411368 ----a-w- d:\windows\system32\deploytk.dll
2009-12-17 07:42 . 2010-01-23 20:38 343552 ----a-w- d:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2008-04-14 06:51 33280 ----a-w- d:\windows\system32\csrsrv.dll
2009-12-09 10:11 . 2008-04-14 08:06 2068224 ----a-w- d:\windows\system32\ntkrnlpa.exe
2009-12-09 10:11 . 2008-04-14 06:07 2191360 ----a-w- d:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2008-04-13 22:47 455424 ----a-w- d:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[-] 2008-08-08 . 1E603EA2A3FDBAE9E5B88A8CB3C03124 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="d:\program files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-12-16 94208]
"VisualTaskTips"="d:\program files\VisualTaskTips\VisualTaskTips.exe" [2008-06-22 65536]
"EVEREST AutoStart"="d:\program files\EVEREST Ultimate Edition\everest.exe" [2009-02-04 2350176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"nwiz"="nwiz.exe" [2007-12-05 1626112]
"NvMediaCenter"="NvMCTray.dll" [2007-12-05 81920]
"avast!"="d:\progra~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"BtTray"="d:\program files\BlueSoleil\BtTray.exe" [2009-02-27 278016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-12-11 14:57 948672 ----a-r- d:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- d:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-02-11 09:56 133368 ----a-w- d:\program files\ICQ7.0\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- d:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 14:21 246504 ----a-w- d:\program files\Common Files\Java\Java Update\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\BlueSoleil\\BlueSoleilCS.exe"=
"d:\\Program Files\\ICQ7.0\\ICQ.exe"=
"d:\\Program Files\\ICQ7.0\\aolload.exe"=
"d:\\WINDOWS\\system32\\dpvsetup.exe"=
"f:\\Nainstalováný Softwéry\\track mania national forever\\TmNationsForever\\TmForever.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;d:\windows\system32\drivers\BtHidBus.sys [7.1.2009 23:39 20744]
R1 aswSP;avast! Self Protection;d:\windows\system32\drivers\aswSP.sys [23.1.2010 22:03 114768]
R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [23.1.2010 22:03 20560]
R2 BsMobileCS;BsMobileCS;d:\program files\BlueSoleil\BsMobileCS.exe [27.2.2009 16:40 143467]
R3 btnetBUs;Bluetooth PAN Bus Service;d:\windows\system32\drivers\btnetBus.sys [7.12.2008 12:44 30088]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\EVEREST Ultimate Edition\kerneld.wnt [5.2.2010 8:14 26224]
R3 IvtBtBUs;IVT Bluetooth Bus Service;d:\windows\system32\drivers\IvtBtBus.sys [2.7.2008 14:58 26248]
R3 vmmouse;VMware Pointing Device;d:\windows\system32\drivers\vmmouse.sys [23.1.2010 22:25 11696]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Send by Bluetooth - d:\program files\BlueSoleil\TransSend\IE\tsinfo.htm
IE: Send via &Message... - d:\program files\BlueSoleil\TransSend\IE\tssms.htm
IE: {{88EB38EF-4D2C-436D-ABD3-56B232674062} - d:\program files\ICQ7.0\ICQ.exe
FF - ProfilePath - d:\documents and settings\Spravce\Data aplikací\Mozilla\Firefox\Profiles\1hokz0pl.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... 2.0.0.0&q=
FF - plugin: d:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: d:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll

---- NASTAVENÍ FIREFOXU ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-HijackThis - d:\program files\HijackThis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-27 13:39
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\d:\program files\EVEREST Ultimate Edition\kerneld.wnt"
.
Celkový čas: 2010-02-27 13:40:51
ComboFix-quarantined-files.txt 2010-02-27 12:40

Před spuštěním: 2 516 361 216
Po spuštění: 2 481 631 232

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Stará instalace Win XP" /noexecute=optin /fastdetect

- - End Of File - - 6E928A3A5C9D232464EC8D104030B1AF

[Jan Pašek]

Nyní musím odejít ozvu se večer zatím dík.