PC-HELP.CZ

Prosím o kontrolu logu - často mi PC zatuhne. Nevím zda daný problém souvisí s virem či nějakou havětí přesto dávám log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:02:19, on 9.4.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AVG\AVG9\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgfws9.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/skinit/icq/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3D3CCE-D4C6-45B6-A85C-952672CC26EB}: NameServer = 10.0.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: AVG Firewall (avgfws9) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgfws9.exe
O23 - Service: AVG9IDSAgent (AVGIDSAgent) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Unknown owner - C:\WINDOWS\system32\sfrem02.exe (file missing)

--
End of file - 4290 bytes

Jak se to zatuhnutí projevuje? Nebylo by od věci prověřit paměti Memtestem.

Vypni případně IE a fixni:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

FrontLine Drivers Auto Removal službu vypni, zakaž (start/spustit services.msc)

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

Takže provedl jsem co jsem měl. Výsledky skenu viz níže. Zatuhnutí je nepravidelné, někdy po 5 minutách, někdy to jede i několik hodin bez problému. Je to při práci s myší, kdy kurzor zustane nehybný a aplikaci např. opera nejde nijak ukončit, nejde se ani dostat do správce uloh abych zrušil daný proces. Možný je pouze manuální restart počítače.

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Verze databáze: 3970

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

9.4.2010 12:27:48
mbam-log-2010-04-09 (12-27-48).txt

Typ skenu: Rychlý sken
Skenované objekty: 106851
Uplynulý čas: 7 minuta(y), 10 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
(Žádné škodlivé položky nebyly zjištěny)

Nepomůže-li očista, asi bude vhodné založit téma v sekci HW. Leda by byl problém v AVG.

Vypni rez. ochranu AVG

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.

Zde je výpis. buhužel případná další komunikace bude možná až po 22hod.

ComboFix 10-04-08.02 - Administrator 09.04.2010 13:14:58.23.1 - x86
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-03-09 do 2010-04-09 )))))))))))))))))))))))))))))))
.

2010-04-02 13:34 . 2010-04-02 13:34 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-02 11:36 . 2010-04-05 08:27 -------- d-----w- C:\Paradise
2010-03-28 13:03 . 2010-03-28 13:11 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-15 18:21 . 2010-03-15 18:21 -------- d-----w- c:\program files\Lamer

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-09 10:50 . 2008-12-18 15:07 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-02 12:44 . 2010-02-22 10:29 -------- d-----w- c:\program files\Ubisoft
2010-04-01 16:33 . 2010-02-13 20:09 -------- d-----w- c:\program files\TopCD
2010-03-30 14:44 . 2009-08-27 11:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-29 22:46 . 2009-08-27 11:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-08-27 11:16 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-28 19:03 . 2009-12-28 08:27 -------- d-----w- c:\program files\MotoGP2
2010-03-28 13:11 . 2009-08-05 17:50 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-28 13:11 . 2009-08-05 17:50 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-28 12:42 . 2008-12-21 08:19 -------- d-----w- c:\program files\Activision
2010-03-28 06:49 . 2001-09-20 12:00 97578 ----a-w- c:\windows\system32\perfc005.dat
2010-03-28 06:49 . 2001-09-20 12:00 466408 ----a-w- c:\windows\system32\perfh005.dat
2010-03-27 17:25 . 2008-12-18 14:11 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-26 11:14 . 2009-09-06 17:42 -------- d-----w- c:\program files\Opera
2010-03-14 16:54 . 2010-03-09 10:54 -------- d-----w- c:\program files\Crashday
2010-03-11 12:36 . 2004-08-17 13:49 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:36 . 2004-08-17 13:49 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:36 . 2004-08-17 13:49 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 13:50 . 2009-09-10 09:18 -------- d-----w- c:\program files\uTorrent
2010-03-09 11:42 . 2008-12-18 16:22 -------- d-----w- c:\program files\Google
2010-03-09 11:13 . 2010-03-09 10:59 -------- d-----w- c:\program files\JoWooD
2010-03-09 11:01 . 2010-03-09 11:01 -------- d-----w- c:\program files\ZOO Digital Publishing
2010-03-09 10:46 . 2010-02-03 14:20 -------- d-----w- c:\program files\Electronic Arts
2010-03-08 11:18 . 2010-01-30 18:24 -------- d-----w- c:\program files\ATI
2010-03-08 07:44 . 2010-02-04 19:21 -------- d-----w- c:\program files\MagicISO
2010-03-07 06:40 . 2008-12-18 15:44 -------- d-----w- c:\program files\VS Revo Group
2010-03-06 11:52 . 2010-03-06 11:33 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-06 11:52 . 2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-06 11:52 . 2010-03-06 11:33 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 25096 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2010-03-06 11:52 . 2010-03-06 11:33 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2010-03-06 11:52 . 2010-03-06 11:33 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2010-03-06 11:52 . 2010-03-06 11:33 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 52872 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2010-03-06 11:33 . 2010-03-06 11:33 -------- d-----w- c:\program files\AVG
2010-03-04 12:15 . 2010-03-04 12:15 -------- d-----w- c:\program files\THQ
2010-02-28 07:48 . 2010-02-28 07:48 -------- d-----w- c:\program files\Empire Interactive
2010-02-21 19:48 . 2009-09-10 09:58 -------- d-----w- c:\program files\IObit
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-18 16:35 . 2010-02-18 13:42 45056 ----a-w- c:\windows\NCUNINST.EXE
2010-02-18 13:42 . 2010-02-18 13:42 -------- d-----w- c:\program files\Common Files\SWF Studio
2010-02-14 17:19 . 2009-01-05 16:30 -------- d-----w- c:\program files\The Learning Company
2010-02-04 09:01 . 2010-02-13 20:09 74072 ----a-w- c:\windows\system32\XAPOFX1_4.dll
2010-02-04 09:01 . 2010-02-13 20:09 528216 ----a-w- c:\windows\system32\XAudio2_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 238936 ----a-w- c:\windows\system32\xactengine3_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 22360 ----a-w- c:\windows\system32\X3DAudio1_7.dll
2010-02-03 04:52 . 2008-08-21 04:52 4605952 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalrt.dll
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalcl.dll
2010-02-03 04:10 . 2010-01-30 18:03 3633152 ----a-w- c:\windows\system32\aticaldd.dll
2010-02-03 04:07 . 2010-01-30 18:24 311296 ----a-w- c:\windows\system32\atiiiexx.dll
2010-02-03 04:02 . 2010-01-30 18:03 14188544 ----a-w- c:\windows\system32\atioglxx.dll
2010-02-03 03:50 . 2010-01-30 18:03 3566048 ----a-w- c:\windows\system32\ati3duag.dll
2010-02-03 03:40 . 2010-01-30 18:24 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-02-03 03:39 . 2010-01-30 18:03 301568 ----a-w- c:\windows\system32\ati2dvag.dll
2010-02-03 03:35 . 2010-01-30 18:03 2176640 ----a-w- c:\windows\system32\ativvaxx.dll
2010-02-03 03:34 . 2010-01-30 18:24 887724 ----a-w- c:\windows\system32\ativva6x.dat
2010-02-03 03:34 . 2010-01-30 18:24 3 ----a-w- c:\windows\system32\ativva5x.dat
2010-02-03 03:32 . 2010-01-30 18:03 397312 ----a-w- c:\windows\system32\atiok3x2.dll
2010-02-03 03:23 . 2009-12-21 18:58 208896 ----a-w- c:\windows\system32\atipdlxx.dll
2010-02-03 03:23 . 2010-01-30 18:03 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2010-02-03 03:23 . 2010-01-30 18:03 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2010-02-03 03:23 . 2009-12-21 18:58 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-02-03 03:22 . 2010-01-30 18:03 159744 ----a-w- c:\windows\system32\ati2evxx.dll
2010-02-03 03:21 . 2009-12-21 18:58 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2010-02-03 03:19 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2010-02-03 03:19 . 2010-03-08 11:18 143360 ----a-w- c:\windows\system32\atiapfxx.exe
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\atimpc32.dll
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\amdpcom32.dll
2010-02-03 03:17 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-02-03 03:15 . 2010-01-30 18:03 565248 ----a-w- c:\windows\system32\atikvmag.dll
2010-02-03 03:12 . 2010-01-30 18:03 180224 ----a-w- c:\windows\system32\atiadlxx.dll
2010-02-03 03:12 . 2010-01-30 18:03 17408 ----a-w- c:\windows\system32\atitvo32.dll
2010-02-03 03:06 . 2010-01-30 18:03 638976 ----a-w- c:\windows\system32\ati2cqag.dll
2009-11-16 06:52 . 2009-11-15 20:39 6024 --sha-w- c:\windows\system32\sys_drv.dat
2009-11-16 06:52 . 2009-11-15 20:39 5020 --sha-w- c:\windows\system32\sys_drv_2.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [6.3.2010 13:33 25096]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.3.2010 13:33 52872]
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [5.2.2009 19:18 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [5.2.2009 19:18 5248]
R0 sfdrv02;FrontLine Environment Driver (v2);c:\windows\system32\drivers\sfdrv02.sys [11.9.2006 13:57 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:\windows\system32\drivers\sfsync05.sys [11.8.2006 18:09 59776]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.3.2010 13:33 216200]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.3.2010 13:33 242696]
R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [8.9.2009 22:25 95592]
R2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [6.3.2010 13:52 916760]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.3.2010 13:52 308064]
R2 avgfws9;AVG Firewall;c:\program files\AVG\AVG9\avgfws9.exe [6.3.2010 13:52 2325816]
R2 AVGIDSAgent;AVG9IDSAgent;c:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [6.3.2010 13:52 5888008]
R3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
R3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [6.3.2010 13:33 122376]
R3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [6.3.2010 13:33 30216]
R3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [6.3.2010 13:33 26120]
R3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\DynCal.sys [7.11.2007 20:15 12928]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [14.9.2009 16:04 91856]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S4 sfrem02;FrontLine Drivers Auto Removal (v2);c:\windows\system32\sfrem02.exe svc --> c:\windows\system32\sfrem02.exe svc [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.12.2008 23:28 691696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Obsah adresáře 'Naplánované úlohy'

2010-04-06 c:\windows\Tasks\AWC Update.job
- c:\program files\IObit\Advanced SystemCare 3\IObitUpdate.exe [2009-09-10 11:38]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/skinit/icq/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {5D3D3CCE-D4C6-45B6-A85C-952672CC26EB} = 10.0.0.1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 13:24
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x878991F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75e0f28
\Driver\ACPI -> ACPI.sys @ 0xf744dcb8
\Driver\atapi -> atapi.sys @ 0xf73ba852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7285bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7292a21
SendHandler -> NDIS.sys @ 0xf727087b
user & kernel MBR OK

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll

- - - - - - - > 'explorer.exe'(3872)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2010-04-09 13:29:53 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-09 11:29

Před spuštěním: Volných bajtů: 35 570 130 944
Po spuštění: Volných bajtů: 35 520 040 960

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - ADB10DF56B64D148D00C570CEDC6FAC4

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
c:\windows\system32\sys_drv.dat
c:\windows\system32\sys_drv_2.dat

Driver::
S3 VBoxNetFlt
sfrem02
FrontLine Drivers Auto Removal (v2)
VBoxNetFlt Service

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=- 

DDS::
uStart Page = hxxp://www.centrum.cz/skinit/icq/

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Mám problém. Combo fix se rozjede po překrytí skriptem pouze v nouzovém režimu. Pak zjistí rotkit ,sám restartuje počítač.Ten se už ale rozjede v normálním režimu a combo fix čeká na spustění ale nespustí se (čekal jsem asi 40 min).
Přikládám alespon log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:11, on 9.4.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgfws9.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/skinit/icq/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3D3CCE-D4C6-45B6-A85C-952672CC26EB}: NameServer = 10.0.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: AVG Firewall (avgfws9) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgfws9.exe
O23 - Service: AVG9IDSAgent (AVGIDSAgent) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 3794 bytes

Stáhni si TDSSKiller

Na svojí plochu.Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.

Stáhni si program OTM (by OldTimer)

a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services
S3 VBoxNetFlt
sfrem02
FrontLine Drivers Auto Removal (v2)
VBoxNetFlt Service

:Reg

:Files
c:\windows\system32\sys_drv.dat
c:\windows\system32\sys_drv_2.dat

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.

Pak zase log z CF (bez scriptu).

Omlouvám se za spoždění a přerušení komunikace. On mi navíc klekl ventilátorek od chipsetu a až do ted jsem byl bez PC a tudíž offline.A to byla asi i jedna s příčin zatuhávání PC.
Jinak vše jsem provedl dle popisu.A v nouzáku se mi podařilo i rozjet ten ComboFix.
Zde jsou logy:

5:57:35:328 3592 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
15:57:35:328 3592 ================================================================================
15:57:35:328 3592 SystemInfo:

15:57:35:328 3592 OS Version: 5.1.2600 ServicePack: 3.0
15:57:35:328 3592 Product type: Workstation
15:57:35:328 3592 ComputerName: 4500717F2B5C41C
15:57:35:328 3592 UserName: Administrator
15:57:35:328 3592 Windows directory: C:\WINDOWS
15:57:35:328 3592 Processor architecture: Intel x86
15:57:35:328 3592 Number of processors: 1
15:57:35:328 3592 Page size: 0x1000
15:57:35:328 3592 Boot type: Normal boot
15:57:35:328 3592 ================================================================================
15:57:35:328 3592 UnloadDriverW: NtUnloadDriver error 2
15:57:35:328 3592 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
15:57:35:343 3592 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
15:57:35:343 3592 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
15:57:35:343 3592 wfopen_ex: Trying to KLMD file open
15:57:35:343 3592 wfopen_ex: File opened ok (Flags 2)
15:57:35:343 3592 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
15:57:35:343 3592 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
15:57:35:343 3592 wfopen_ex: Trying to KLMD file open
15:57:35:343 3592 wfopen_ex: File opened ok (Flags 2)
15:57:35:343 3592 Initialize success
15:57:35:343 3592
15:57:35:343 3592 Scanning Services ...
15:57:35:375 3592 Raw services enum returned 376 services
15:57:35:390 3592
15:57:35:390 3592 Scanning Kernel memory ...
15:57:35:390 3592 Devices to scan: 2
15:57:35:390 3592
15:57:35:390 3592 Driver Name: Disk
15:57:35:390 3592 IRP_MJ_CREATE : F75E2BB0
15:57:35:390 3592 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
15:57:35:390 3592 IRP_MJ_CLOSE : F75E2BB0
15:57:35:390 3592 IRP_MJ_READ : F75DCD1F
15:57:35:390 3592 IRP_MJ_WRITE : F75DCD1F
15:57:35:390 3592 IRP_MJ_QUERY_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_SET_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_EA : 804F355A
15:57:35:390 3592 IRP_MJ_SET_EA : 804F355A
15:57:35:390 3592 IRP_MJ_FLUSH_BUFFERS : F75DD2E2
15:57:35:390 3592 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
15:57:35:390 3592 IRP_MJ_DIRECTORY_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_DEVICE_CONTROL : F75DD3BB
15:57:35:390 3592 IRP_MJ_INTERNAL_DEVICE_CONTROL : F75E0F28
15:57:35:390 3592 IRP_MJ_SHUTDOWN : F75DD2E2
15:57:35:390 3592 IRP_MJ_LOCK_CONTROL : 804F355A
15:57:35:390 3592 IRP_MJ_CLEANUP : 804F355A
15:57:35:390 3592 IRP_MJ_CREATE_MAILSLOT : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_SECURITY : 804F355A
15:57:35:390 3592 IRP_MJ_SET_SECURITY : 804F355A
15:57:35:390 3592 IRP_MJ_POWER : F75DEC82
15:57:35:390 3592 IRP_MJ_SYSTEM_CONTROL : F75E399E
15:57:35:390 3592 IRP_MJ_DEVICE_CHANGE : 804F355A
15:57:35:390 3592 IRP_MJ_QUERY_QUOTA : 804F355A
15:57:35:390 3592 IRP_MJ_SET_QUOTA : 804F355A
15:57:35:406 3592 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
15:57:35:406 3592
15:57:35:406 3592 Driver Name: nvatabus
15:57:35:406 3592 IRP_MJ_CREATE : 8787E660
15:57:35:406 3592 IRP_MJ_CREATE_NAMED_PIPE : 8787E660
15:57:35:406 3592 IRP_MJ_CLOSE : 8787E660
15:57:35:406 3592 IRP_MJ_READ : 8787E660
15:57:35:406 3592 IRP_MJ_WRITE : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_SET_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_EA : 8787E660
15:57:35:406 3592 IRP_MJ_SET_EA : 8787E660
15:57:35:406 3592 IRP_MJ_FLUSH_BUFFERS : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_VOLUME_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_SET_VOLUME_INFORMATION : 8787E660
15:57:35:406 3592 IRP_MJ_DIRECTORY_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_FILE_SYSTEM_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_DEVICE_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_SHUTDOWN : 8787E660
15:57:35:406 3592 IRP_MJ_LOCK_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_CLEANUP : 8787E660
15:57:35:406 3592 IRP_MJ_CREATE_MAILSLOT : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_SECURITY : 8787E660
15:57:35:406 3592 IRP_MJ_SET_SECURITY : 8787E660
15:57:35:406 3592 IRP_MJ_POWER : 8787E660
15:57:35:406 3592 IRP_MJ_SYSTEM_CONTROL : 8787E660
15:57:35:406 3592 IRP_MJ_DEVICE_CHANGE : 8787E660
15:57:35:406 3592 IRP_MJ_QUERY_QUOTA : 8787E660
15:57:35:406 3592 IRP_MJ_SET_QUOTA : 8787E660
15:57:35:468 3592 C:\WINDOWS\system32\DRIVERS\nvatabus.sys - Verdict: 1
15:57:35:468 3592
15:57:35:468 3592 Completed
15:57:35:468 3592
15:57:35:468 3592 Results:
15:57:35:468 3592 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592 File objects infected / cured / cured on reboot: 0 / 0 / 0
15:57:35:468 3592
15:57:35:468 3592 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
15:57:35:468 3592 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
15:57:35:468 3592 KLMD(ARK) unloaded successfully

a log.č.2:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Error: No service named S3 VBoxNetFlt was found to stop!
Service\Driver key S3 VBoxNetFlt not found.
Service sfrem02 stopped successfully!
Service sfrem02 deleted successfully!
Error: No service named FrontLine Drivers Auto Removal (v2) was found to stop!
Service\Driver key FrontLine Drivers Auto Removal (v2) not found.
Error: No service named VBoxNetFlt Service was found to stop!
Service\Driver key VBoxNetFlt Service not found.
========== REGISTRY ==========
========== FILES ==========
c:\windows\system32\sys_drv.dat moved successfully.
c:\windows\system32\sys_drv_2.dat moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 178000 bytes
->Temporary Internet Files folder emptied: 64042 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1790 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41044 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: PC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 23948 bytes

Total Files Cleaned = 1,00 mb

OTM by OldTimer - Version 3.1.10.1 log created on 04142010_160150

A log CF:

ComboFix 10-04-09.01 - Administrator 14.04.2010 18:21:34.25.1 - x86 MINIMAL
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.809 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\CFScript.txt
AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
"c:\windows\system32\sys_drv.dat"
"c:\windows\system32\sys_drv_2.dat"
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-03-14 do 2010-04-14 )))))))))))))))))))))))))))))))
.

2010-04-14 14:01 . 2010-04-14 14:01 -------- d-----w- C:\_OTM
2010-04-02 13:34 . 2010-04-02 13:34 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-02 11:36 . 2010-04-05 08:27 -------- d-----w- C:\Paradise
2010-03-28 13:03 . 2010-03-28 13:11 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-15 18:21 . 2010-03-15 18:21 -------- d-----w- c:\program files\Lamer

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-14 15:44 . 2008-12-18 15:07 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-02 12:44 . 2010-02-22 10:29 -------- d-----w- c:\program files\Ubisoft
2010-04-01 16:33 . 2010-02-13 20:09 -------- d-----w- c:\program files\TopCD
2010-03-30 14:44 . 2009-08-27 11:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-29 22:46 . 2009-08-27 11:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-08-27 11:16 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-28 19:03 . 2009-12-28 08:27 -------- d-----w- c:\program files\MotoGP2
2010-03-28 13:11 . 2009-08-05 17:50 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-28 13:11 . 2009-08-05 17:50 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-28 12:42 . 2008-12-21 08:19 -------- d-----w- c:\program files\Activision
2010-03-28 06:49 . 2001-09-20 12:00 97578 ----a-w- c:\windows\system32\perfc005.dat
2010-03-28 06:49 . 2001-09-20 12:00 466408 ----a-w- c:\windows\system32\perfh005.dat
2010-03-27 17:25 . 2008-12-18 14:11 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-26 11:14 . 2009-09-06 17:42 -------- d-----w- c:\program files\Opera
2010-03-14 16:54 . 2010-03-09 10:54 -------- d-----w- c:\program files\Crashday
2010-03-11 12:36 . 2004-08-17 13:49 832512 ------w- c:\windows\system32\wininet.dll
2010-03-11 12:36 . 2004-08-17 13:49 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:36 . 2004-08-17 13:49 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 13:50 . 2009-09-10 09:18 -------- d-----w- c:\program files\uTorrent
2010-03-09 11:42 . 2008-12-18 16:22 -------- d-----w- c:\program files\Google
2010-03-09 11:13 . 2010-03-09 10:59 -------- d-----w- c:\program files\JoWooD
2010-03-09 11:01 . 2010-03-09 11:01 -------- d-----w- c:\program files\ZOO Digital Publishing
2010-03-09 10:46 . 2010-02-03 14:20 -------- d-----w- c:\program files\Electronic Arts
2010-03-08 11:18 . 2010-01-30 18:24 -------- d-----w- c:\program files\ATI
2010-03-08 07:44 . 2010-02-04 19:21 -------- d-----w- c:\program files\MagicISO
2010-03-07 06:40 . 2008-12-18 15:44 -------- d-----w- c:\program files\VS Revo Group
2010-03-06 11:52 . 2010-03-06 11:33 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-06 11:52 . 2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-06 11:52 . 2010-03-06 11:33 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 25096 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2010-03-06 11:52 . 2010-03-06 11:33 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2010-03-06 11:52 . 2010-03-06 11:33 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2010-03-06 11:52 . 2010-03-06 11:33 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-06 11:52 . 2010-03-06 11:33 52872 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2010-03-06 11:33 . 2010-03-06 11:33 -------- d-----w- c:\program files\AVG
2010-03-04 12:15 . 2010-03-04 12:15 -------- d-----w- c:\program files\THQ
2010-02-28 07:48 . 2010-02-28 07:48 -------- d-----w- c:\program files\Empire Interactive
2010-02-21 19:48 . 2009-09-10 09:58 -------- d-----w- c:\program files\IObit
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-18 16:35 . 2010-02-18 13:42 45056 ----a-w- c:\windows\NCUNINST.EXE
2010-02-18 13:42 . 2010-02-18 13:42 -------- d-----w- c:\program files\Common Files\SWF Studio
2010-02-14 17:19 . 2009-01-05 16:30 -------- d-----w- c:\program files\The Learning Company
2010-02-04 09:01 . 2010-02-13 20:09 74072 ----a-w- c:\windows\system32\XAPOFX1_4.dll
2010-02-04 09:01 . 2010-02-13 20:09 528216 ----a-w- c:\windows\system32\XAudio2_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 238936 ----a-w- c:\windows\system32\xactengine3_6.dll
2010-02-04 09:01 . 2010-02-13 20:09 22360 ----a-w- c:\windows\system32\X3DAudio1_7.dll
2010-02-03 04:52 . 2008-08-21 04:52 4605952 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalrt.dll
2010-02-03 04:12 . 2010-01-30 18:03 45056 ----a-w- c:\windows\system32\aticalcl.dll
2010-02-03 04:10 . 2010-01-30 18:03 3633152 ----a-w- c:\windows\system32\aticaldd.dll
2010-02-03 04:07 . 2010-01-30 18:24 311296 ----a-w- c:\windows\system32\atiiiexx.dll
2010-02-03 04:02 . 2010-01-30 18:03 14188544 ----a-w- c:\windows\system32\atioglxx.dll
2010-02-03 03:50 . 2010-01-30 18:03 3566048 ----a-w- c:\windows\system32\ati3duag.dll
2010-02-03 03:40 . 2010-01-30 18:24 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-02-03 03:39 . 2010-01-30 18:03 301568 ----a-w- c:\windows\system32\ati2dvag.dll
2010-02-03 03:35 . 2010-01-30 18:03 2176640 ----a-w- c:\windows\system32\ativvaxx.dll
2010-02-03 03:34 . 2010-01-30 18:24 887724 ----a-w- c:\windows\system32\ativva6x.dat
2010-02-03 03:34 . 2010-01-30 18:24 3 ----a-w- c:\windows\system32\ativva5x.dat
2010-02-03 03:32 . 2010-01-30 18:03 397312 ----a-w- c:\windows\system32\atiok3x2.dll
2010-02-03 03:23 . 2009-12-21 18:58 208896 ----a-w- c:\windows\system32\atipdlxx.dll
2010-02-03 03:23 . 2010-01-30 18:03 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2010-02-03 03:23 . 2010-01-30 18:03 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2010-02-03 03:23 . 2009-12-21 18:58 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-02-03 03:22 . 2010-01-30 18:03 159744 ----a-w- c:\windows\system32\ati2evxx.dll
2010-02-03 03:21 . 2009-12-21 18:58 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2010-02-03 03:19 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2010-02-03 03:19 . 2010-03-08 11:18 143360 ----a-w- c:\windows\system32\atiapfxx.exe
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\atimpc32.dll
2010-02-03 03:18 . 2010-01-30 18:03 65024 ----a-w- c:\windows\system32\amdpcom32.dll
2010-02-03 03:17 . 2010-01-30 18:03 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-02-03 03:15 . 2010-01-30 18:03 565248 ----a-w- c:\windows\system32\atikvmag.dll
2010-02-03 03:12 . 2010-01-30 18:03 180224 ----a-w- c:\windows\system32\atiadlxx.dll
2010-02-03 03:12 . 2010-01-30 18:03 17408 ----a-w- c:\windows\system32\atitvo32.dll
2010-02-03 03:06 . 2010-01-30 18:03 638976 ----a-w- c:\windows\system32\ati2cqag.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-06 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Program Files\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [6.3.2010 13:33 25096]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [6.3.2010 13:33 52872]
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [5.2.2009 19:18 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [5.2.2009 19:18 5248]
R0 sfdrv02;FrontLine Environment Driver (v2);c:\windows\system32\drivers\sfdrv02.sys [11.9.2006 13:57 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:\windows\system32\drivers\sfsync05.sys [11.8.2006 18:09 59776]
R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [8.9.2009 22:25 95592]
S1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6.3.2010 13:33 216200]
S1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6.3.2010 13:33 242696]
S2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [6.3.2010 13:52 916760]
S2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6.3.2010 13:52 308064]
S2 avgfws9;AVG Firewall;c:\program files\AVG\AVG9\avgfws9.exe [6.3.2010 13:52 2325816]
S2 AVGIDSAgent;AVG9IDSAgent;c:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [6.3.2010 13:52 5888008]
S3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [6.3.2010 13:33 30104]
S3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [6.3.2010 13:33 122376]
S3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [6.3.2010 13:33 30216]
S3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [6.3.2010 13:33 26120]
S3 DynCal;Dynamic Calibration Service;c:\windows\system32\drivers\DynCal.sys [7.11.2007 20:15 12928]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [14.9.2009 16:04 91856]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.12.2008 23:28 691696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
.
------- Doplňkový sken -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {5D3D3CCE-D4C6-45B6-A85C-952672CC26EB} = 10.0.0.1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-14 18:28
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x87B15C40]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7633f28
\Driver\ACPI -> ACPI.sys @ 0xf7580cb8
\Driver\atapi -> atapi.sys @ 0xf74ed852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
user & kernel MBR OK

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(276)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll

- - - - - - - > 'explorer.exe'(1420)
c:\progra~1\WINDOW~2\wmpband.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
.
**************************************************************************
.
Celkový čas: 2010-04-14 18:33:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-14 16:33
ComboFix2.txt 2010-04-09 11:29

Před spuštěním: Volných bajtů: 35 391 680 512
Po spuštění: Volných bajtů: 35 344 113 664

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - DA6F2E4A11AFAB9874A0DB9BAEE0FFB8

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

vyčisti systém CCleanerem

a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš

pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG či Avast, následně T-Cleaner smaž a zapni si AVG či Avast.

Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.

Pokud problémy přetrvávají , bude problém s HW (zadat nové téma do odpovídající sekce).

PC-HELP.CZ

Prosím o kontrolu logu - časté zatuhnutí PC

Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC

Re: Prosím o kontrolu logu - časté zatuhnutí PC Vyřešeno