Prosím o kontrolu logu Vyřešeno

[Orcus]

Čau,
rád bych poprosil o projetí logu. Souvisí to s http://www.pc-help.cz/viewtopic.php?f=4 ... 49#p483367 , kdy všechny složky na PC mají atribut "Jen pro čtení". Pokud ho zruším a restartuju PC, zase je ten atribut přiřazen.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:28:11, on 4.4.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\AVG\AVG10\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\AVG\AVG10\avgtray.exe
C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\WinFast\WFDTV\WFWIZ.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\TeamViewer\Version6\TeamViewer.exe
C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Program Files\mphc\mpc-hc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Orcus\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Orcus\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Orcus\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
C:\Program Files\AVG\AVG10\avgui.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files\AVG\AVG10\avgtray.exe
O4 - HKLM\..\Run: [WinFastDTV] C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFDTV\WFWIZ.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Orcus\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: AVG Firewall (avgfws) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgfws.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6242 bytes

==================================

Běží mi teď MWAM, jak bude vystup postnu:)

[Reklama]

[Orcus]

Přihazuju nálezy z MWAW:


Object "Spyware.NetScreenWatch Spyware/Adware" found in File System! Action Taken: No Action Taken.

- odkazoval na soubor, kterej sem po kontrole pres virustotal smazal.

Object "WORM_PALEVO.KK Worm" found in File System! Action Taken: No Action Taken.

File C:\WINDOWS\system32\Dvbpws.dll infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\Dvbpws.dll infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

- podle virustotal je OK.

File E:\Moje\T2\zaloha TS\ut\rmagent.zip infected by "Generic.HorstBased.EC84656B (DB)" Virus! Action Taken: No Action Taken.

- False detekce - jedna se o nastroj AVG Tech Supportu.

[Žbeky]

MWAV už sakra dlouhou dobu nepoužíváme, právě kvůli té falešné detekci.

fixni:

Kód: Vybrat vše

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelp
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Orcus\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" /cerShim.dll

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Update Malwarebytes' Anti-Malware (Aktualizace Malwarebytes' Anti-Malware) a Launch Malwarebytes' Anti-Malware (Spustit aplikaci Malwarebytes' Anti-Malware), pokud jo tak klikni na tlačítko Finish
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Perform Quick Scan (Provést rychlý sken) a klikni na tlačítko Scan (Skenovat)
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- pak zvol možnost Save Logfile a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[Orcus]

Já to bral podle záhlaví sekce HJT, no ale aspoň jsem o něco chytřejší :) Fixnuto, vyčištěno. Test MBAM nenašel nic.

[Žbeky]

Chtělo by to asi trošku zaktualizovat

Vypni rezidentní štít antiviru a antispywaru
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

Možná to bude mít problém s AVG, tak ho kdyžtak dočasně vyhoď

[Orcus]

ComboFix 11-04-05.02 - Orcus 06.04.2011 14:47:09.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3582.3214 [GMT 2:00]
Spuštěný z: E:\ComboFix.exe
FW: AVG Firewall *Disabled* {8decf618-9569-4340-b34a-d78d28969b66}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\regedit.com
c:\windows\system32\Dvbpws.dll
c:\windows\system32\taskmgr.com
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-03-06 do 2011-04-06 )))))))))))))))))))))))))))))))
.
.
2011-09-03 11:58 . 2011-09-03 11:58 752128 ----a-w- c:\windows\system32\drivers\tdrpm273.sys
2011-09-03 11:58 . 2011-09-03 11:58 600928 ----a-w- c:\windows\system32\drivers\timntr.sys
2011-09-03 11:53 . 2011-09-03 11:53 -------- d-----w- C:\WinFast Work Area
2011-04-04 12:34 . 2011-04-04 12:34 -------- d---a-w- c:\windows\VDLL.DLL
2011-04-04 12:34 . 2011-04-04 12:34 -------- d---a-w- c:\windows\system32\runouce.exe
2011-04-04 12:34 . 2011-04-04 12:34 -------- d---a-w- c:\windows\rundll16.exe
2011-04-04 12:34 . 2011-04-04 12:34 -------- d---a-w- c:\windows\RUNDL132.EXE
2011-04-04 12:34 . 2011-04-04 12:34 -------- d---a-w- c:\windows\logo1_.exe
2011-04-04 12:34 . 2011-04-04 12:34 -------- d---a-w- c:\windows\logo_1.exe
2011-04-04 12:31 . 2011-04-04 12:31 632064 ----a-w- c:\windows\system32\msvcr80.dll
2011-04-04 12:31 . 2011-04-04 12:31 554240 ----a-w- c:\windows\system32\msvcp80.dll
2011-04-04 12:31 . 2011-04-04 12:31 34048 ----a-w- c:\windows\system32\eEmpty.exe
2011-04-04 12:31 . 2008-04-14 06:52 137216 ----a-w- c:\windows\system32\T.COM
2011-04-04 12:31 . 2008-04-14 06:52 147968 ----a-w- c:\windows\R.COM
2011-04-04 12:31 . 2011-04-04 12:31 -------- d-----w- c:\program files\Common Files\MicroWorld
2011-04-04 12:31 . 2011-04-04 12:31 -------- d-----w- c:\documents and settings\All Users\Data aplikací\MicroWorld
2011-04-04 12:27 . 2011-04-04 12:27 -------- d-----w- c:\program files\Trend Micro
2011-04-04 12:18 . 2011-04-04 12:18 -------- d-----w- c:\program files\18 WoS Across America
2011-04-04 12:17 . 2011-04-04 12:17 -------- d-----w- c:\program files\18 WoS Pedal to the Metal
2011-04-04 02:44 . 2011-04-04 02:44 -------- d-----w- c:\program files\Defraggler
2011-04-03 23:45 . 2011-04-03 23:45 -------- d-----w- c:\documents and settings\Orcus\Local Settings\Data aplikací\Temp
2011-04-03 10:00 . 2011-04-03 10:00 -------- d--h--w- c:\windows\system32\GroupPolicy
2011-04-01 23:04 . 2011-04-01 23:04 -------- d-----w- c:\program files\Cities In Motion
2011-04-01 22:59 . 2011-04-01 22:59 -------- d-----w- c:\program files\mphc
2011-04-01 22:59 . 2011-04-01 22:59 -------- d-----w- c:\documents and settings\Orcus\Data aplikací\Media Player Classic
2011-03-27 17:24 . 2011-03-27 17:25 -------- d-----w- c:\program files\German Truck Simulator
2011-03-27 17:24 . 2011-03-27 17:24 -------- d--h--w- c:\windows\PIF
2011-03-27 08:06 . 2011-03-27 08:06 -------- d-----w- c:\program files\Common Files\Java
2011-03-27 08:06 . 2011-03-27 08:06 -------- d-----w- c:\windows\Sun
2011-03-27 08:06 . 2011-03-27 08:06 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-03-27 08:06 . 2011-03-27 08:06 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-03-27 08:05 . 2011-03-27 08:05 -------- d-----w- c:\program files\Java
2011-03-26 08:59 . 2011-03-26 09:09 -------- d-----w- c:\documents and settings\Orcus\Local Settings\Data aplikací\Adobe
2011-03-26 08:58 . 2011-03-26 08:58 -------- d-----w- c:\program files\Common Files\Adobe
2011-03-25 19:28 . 2011-03-25 19:28 98304 ----a-r- c:\documents and settings\Orcus\Data aplikací\Microsoft\Installer\{3577E42B-3347-4EB8-BFDA-D36E8ED3C519}\icons.exe
2011-03-25 19:28 . 2011-03-25 19:28 -------- d-----w- c:\documents and settings\Orcus\Local Settings\Data aplikací\Apps
2011-03-25 10:47 . 2011-03-25 10:47 -------- d-----w- c:\documents and settings\Orcus\Data aplikací\Malwarebytes
2011-03-25 10:47 . 2011-03-25 10:47 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-03-25 10:47 . 2011-04-04 21:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-03-23 07:30 . 2011-03-18 17:55 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-03-23 07:30 . 2011-03-18 17:55 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-03-23 07:30 . 2011-03-18 17:55 728024 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-03-23 07:30 . 2011-03-18 17:55 1893336 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-03-23 07:30 . 2011-03-18 17:55 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
2011-03-23 07:30 . 2011-03-18 17:55 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
2011-03-23 07:30 . 2011-03-18 17:55 142296 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-03-23 07:30 . 2011-03-18 17:55 1975768 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-03-18 19:56 . 2011-03-18 19:56 -------- d-----w- c:\documents and settings\Orcus\Local Settings\Data aplikací\Irrational Games
2011-03-17 06:20 . 2011-03-21 05:49 -------- d-----w- c:\documents and settings\LogMeInRemoteUser
2011-03-16 20:30 . 2011-03-16 20:30 23456 ----a-w- c:\windows\system32\drivers\DrvAgent32.sys
2011-03-16 20:30 . 2011-03-16 20:30 -------- d-----w- c:\documents and settings\Orcus\Local Settings\Data aplikací\eSupport.com
2011-03-16 16:25 . 2011-03-16 16:26 -------- d-----w- c:\program files\Hard Truck 18 Wheels
2011-03-15 18:46 . 2011-03-15 22:36 -------- d-----w- C:\Temp
2011-03-14 04:36 . 2011-03-14 04:36 -------- d-----w- c:\program files\CCleaner
2011-03-14 04:26 . 2011-03-14 04:26 -------- d-----w- c:\documents and settings\Orcus\Data aplikací\HD Tune Pro
2011-03-14 04:26 . 2011-03-26 22:18 -------- d-----w- c:\program files\HD Tune Pro
2011-03-14 01:24 . 2011-03-14 01:24 -------- d-----w- c:\program files\Recuva
2011-03-12 23:10 . 2009-03-19 07:49 787720 ----a-r- c:\windows\system32\tmp9.tmp
2011-03-12 23:09 . 2009-03-19 07:49 787720 ----a-r- c:\windows\system32\tmp5.tmp
2011-03-12 23:02 . 2011-03-12 23:02 -------- d-----w- c:\documents and settings\Orcus\Data aplikací\RigNRoll
2011-03-12 20:15 . 2011-03-12 20:15 -------- d-----w- c:\program files\OpenAL
2011-03-12 20:15 . 2009-03-19 07:49 787720 ----a-r- c:\windows\system32\tmp1F5.tmp
2011-03-12 20:15 . 2009-03-19 07:49 787720 ----a-r- c:\windows\system32\tmp1F4.tmp
2011-03-12 19:55 . 2011-03-12 23:02 -------- d-----w- c:\program files\1C
2011-03-11 14:11 . 2002-08-22 22:27 348160 ----a-w- c:\windows\system32\FlatBtn6.ocx
2011-03-11 14:11 . 2001-12-12 10:35 348160 ----a-w- c:\windows\system32\MEnc.ocx
2011-03-11 14:11 . 1998-06-24 00:00 140096 ----a-w- c:\windows\system32\Comdlg32.ocx
2011-03-11 14:11 . 2011-03-11 15:03 -------- d-----w- c:\program files\WAV to MP3 Encoder
2011-03-11 01:47 . 2011-03-11 01:47 -------- d-----w- c:\program files\Common Files\DirectX
2011-03-10 22:51 . 2011-03-10 22:51 -------- d-----w- c:\documents and settings\Orcus\Local Settings\Data aplikací\CrashRpt
2011-03-10 22:48 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2011-03-09 04:00 . 2011-03-09 04:00 -------- d-----w- c:\documents and settings\Orcus\Local Settings\Data aplikací\GHISLER
2011-03-09 03:56 . 2011-03-12 23:11 -------- d-----w- c:\program files\ReNamer
2011-03-08 14:01 . 2011-03-08 14:01 -------- d-----w- C:\$AVG
2011-03-07 15:55 . 2011-03-07 15:55 -------- d-----w- c:\program files\Microsoft Synchronization Services
2011-03-07 15:55 . 2011-03-07 15:55 -------- d-----w- c:\program files\Microsoft.NET
2011-03-07 15:55 . 2011-03-07 15:55 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2011-03-07 15:55 . 2011-03-07 15:55 -------- d-----w- c:\documents and settings\All Users\Microsoft
2011-03-07 15:53 . 2011-03-07 15:53 -------- d-----w- c:\program files\Microsoft Analysis Services
2011-03-07 15:53 . 2011-03-07 15:53 -------- d-----w- c:\windows\SHELLNEW
2011-03-07 15:53 . 2011-03-07 15:53 -------- d-----r- C:\MSOCache
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 03:19 . 2011-03-07 03:19 143360 ----a-w- c:\windows\system32\vbuzip10.dll
2011-01-14 07:06 . 2011-03-02 19:33 277352 ----a-w- c:\windows\system32\drivers\Rtenicxp.sys
2011-01-12 09:42 . 2011-03-03 16:27 13304 ----a-w- c:\windows\system32\drivers\TVMonitor.sys
2011-01-08 03:27 . 2011-03-02 19:39 61440 ----a-w- c:\windows\system32\OpenCL.dll
2011-01-08 03:27 . 2011-03-02 19:39 941160 ----a-w- c:\windows\system32\nvdispco322090.dll
2011-01-08 03:27 . 2011-03-02 19:39 837736 ----a-w- c:\windows\system32\nvgenco322040.dll
2011-01-08 03:27 . 2011-03-02 19:39 4980736 ----a-w- c:\windows\system32\nvcuda.dll
2011-01-08 03:27 . 2011-03-02 19:39 2916968 ----a-w- c:\windows\system32\nvcuvid.dll
2011-01-08 03:27 . 2011-03-02 19:39 2251368 ----a-w- c:\windows\system32\nvcuvenc.dll
2011-01-08 03:27 . 2011-03-02 19:39 14671872 ----a-w- c:\windows\system32\nvoglnt.dll
2011-01-08 03:27 . 2011-03-02 19:39 9888672 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2011-01-08 03:27 . 2011-03-02 19:39 6397824 ----a-w- c:\windows\system32\nv4_disp.dll
2011-01-08 03:27 . 2011-03-02 19:39 1958400 ----a-w- c:\windows\system32\nvapi.dll
2011-01-08 03:27 . 2011-03-02 19:39 13004800 ----a-w- c:\windows\system32\nvcompiler.dll
2011-01-07 18:58 . 2011-01-07 18:58 282624 ----a-w- c:\windows\system32\nvrsel.dll
2011-01-07 18:58 . 2011-01-07 18:58 274432 ----a-w- c:\windows\system32\nvrsesm.dll
2011-01-07 18:58 . 2011-01-07 18:58 253952 ----a-w- c:\windows\system32\nvrsth.dll
2011-01-07 18:58 . 2011-01-07 18:58 249856 ----a-w- c:\windows\system32\nvrseng.dll
2011-01-07 18:58 . 2011-01-07 18:58 126976 ----a-w- c:\windows\system32\nvrszht.dll
2011-01-07 18:58 . 2011-01-07 18:58 331776 ----a-w- c:\windows\system32\nvrshe.dll
2011-01-07 18:58 . 2011-01-07 18:58 286720 ----a-w- c:\windows\system32\nvrsfr.dll
2011-01-07 18:58 . 2011-01-07 18:58 274432 ----a-w- c:\windows\system32\nvrsnl.dll
2011-01-07 18:58 . 2011-01-07 18:58 270336 ----a-w- c:\windows\system32\nvrsru.dll
2011-01-07 18:58 . 2011-01-07 18:58 262144 ----a-w- c:\windows\system32\nvrshu.dll
2011-01-07 18:58 . 2011-01-07 18:58 258048 ----a-w- c:\windows\system32\nvrssl.dll
2011-01-07 18:58 . 2011-01-07 18:58 253952 ----a-w- c:\windows\system32\nvrsda.dll
2011-01-07 18:58 . 2011-01-07 18:58 249856 ----a-w- c:\windows\system32\nvrsfi.dll
2011-01-07 18:58 . 2011-01-07 18:58 229376 ----a-w- c:\windows\system32\nvrszhc.dll
2011-01-07 18:58 . 2011-01-07 18:58 335872 ----a-w- c:\windows\system32\nvrsar.dll
2011-01-07 18:58 . 2011-01-07 18:58 282624 ----a-w- c:\windows\system32\nvrses.dll
2011-01-07 18:58 . 2011-01-07 18:58 278528 ----a-w- c:\windows\system32\nvrsde.dll
2011-01-07 18:58 . 2011-01-07 18:58 270336 ----a-w- c:\windows\system32\nvrsptb.dll
2011-01-07 18:58 . 2011-01-07 18:58 266240 ----a-w- c:\windows\system32\nvrsko.dll
2011-01-07 18:58 . 2011-01-07 18:58 258048 ----a-w- c:\windows\system32\nvrstr.dll
2011-01-07 18:58 . 2011-01-07 18:58 258048 ----a-w- c:\windows\system32\nvrssk.dll
2011-01-07 18:58 . 2011-01-07 18:58 253952 ----a-w- c:\windows\system32\nvrssv.dll
2011-01-07 18:58 . 2011-01-07 18:58 253952 ----a-w- c:\windows\system32\nvrsno.dll
2011-01-07 18:58 . 2011-01-07 18:58 249856 ----a-w- c:\windows\system32\nvrscs.dll
2011-01-07 18:58 . 2011-01-07 18:58 282624 ----a-w- c:\windows\system32\nvrsit.dll
2011-01-07 18:58 . 2011-01-07 18:58 274432 ----a-w- c:\windows\system32\nvrspt.dll
2011-01-07 18:58 . 2011-01-07 18:58 270336 ----a-w- c:\windows\system32\nvrsja.dll
2011-01-07 18:58 . 2011-01-07 18:58 258048 ----a-w- c:\windows\system32\nvrspl.dll
2011-01-07 18:58 . 2011-01-07 18:58 81920 ----a-w- c:\windows\system32\nvwddi.dll
2011-01-07 18:58 . 2011-01-07 18:58 580200 ----a-w- c:\windows\system32\easyUpdatusAPIU.dll
2011-01-07 18:58 . 2011-01-07 18:58 277608 ----a-w- c:\windows\system32\nvmccs.dll
2011-01-07 18:58 . 2011-01-07 18:58 156776 ----a-w- c:\windows\system32\nvsvc32.exe
2011-01-07 18:58 . 2011-01-07 18:58 145000 ----a-w- c:\windows\system32\nvcolor.exe
2011-01-07 18:58 . 2011-01-07 18:58 13880424 ----a-w- c:\windows\system32\nvcpl.dll
2011-01-07 18:58 . 2011-01-07 18:58 111208 ----a-w- c:\windows\system32\nvmctray.dll
2011-03-18 17:55 . 2011-03-23 07:30 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinFast Schedule"="c:\program files\WinFast\WFDTV\WFWIZ.exe" [2010-08-11 2920448]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-11-02 19580520]
"WinFastDTV"="c:\program files\WinFast\WFDTV\DTVSchdl.exe" [2011-01-12 101888]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-02-06 170496]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2010-09-17 63048]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Orcus\Nabˇdka Start\Programy\Po spuçtŘnˇ\
SpeedFan.lnk - c:\program files\SpeedFan\speedfan.exe [2011-3-17 4523928]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2010-12-08 12:11 87424 ----a-w- c:\windows\system32\LMIinit.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Program Files\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
.
R0 rttmntr;R-TT Backup Archive Explorer;c:\windows\system32\drivers\rttmntr.sys [15.10.2003 19:31 168128]
R0 snaprtt;Acronis Snapshots Manager (R-TT);c:\windows\system32\drivers\snaprtt.sys [15.10.2003 19:31 65856]
R2 LMIGuardianSvc;LMIGuardianSvc;c:\program files\LogMeIn\x86\LMIGuardianSvc.exe [8.12.2010 14:11 374152]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [17.9.2010 16:40 12856]
R2 rttfsfilt;R-TT FS Filter;c:\windows\system32\drivers\rttfsfilt.sys [15.10.2003 19:31 26912]
R2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [3.3.2011 18:27 2296696]
R3 3xHybrid;WinFast DTV1000 S;c:\windows\system32\drivers\3xHybrid.sys [2.3.2011 21:56 1040512]
R3 MonitorFunction;Driver for Monitor;c:\windows\system32\drivers\TVMonitor.sys [3.3.2011 18:27 13304]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2.3.2011 21:36 1691480]
S3 DrvAgent32;DrvAgent32;c:\windows\system32\drivers\DrvAgent32.sys [16.3.2011 22:30 23456]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [9.1.2010 21:37 4640000]
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\documents and settings\Orcus\Data aplikací\Mozilla\Firefox\Profiles\iqy8n2dn.default\
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-Shutdown_Manager - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-06 14:51
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(860)
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
.
Celkový čas: 2011-04-06 14:52:00
ComboFix-quarantined-files.txt 2011-04-06 12:51
.
Před spuštěním: Volných bajtů: 479 651 946 496
Po spuštění: Volných bajtů: 480 034 861 056
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - EAF373F46CAD534A40FEF81D430BA95F

[Žbeky]

AVG jsi kompletně odinstaloval?

Toto otestuj na Virustotal
c:\windows\system32\eEmpty.exe
c:\windows\system32\T.COM
c:\windows\R.COM

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/40 , nebo 1/40. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

[Orcus]

Jou, vzal sem ho removerem... ten FW zustal disablovanej, protože sem v noci během práce testoval pár věcí :)

http://www.virustotal.com/file-scan/rep ... 1302098339

http://www.virustotal.com/file-scan/rep ... 1302098319

http://www.virustotal.com/file-scan/rep ... 1302098051

Všechno čistý, ale u jednoho se objevilo VT community - malware

[Žbeky]

Hoď je do RARu, já je přes CF smáznu a kdyžtak je ze zálohy z toho archivu nahodíš.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::

SecCenter::
FW: AVG Firewall *Disabled* {8decf618-9569-4340-b34a-d78d28969b66}

Folder::
c:\windows\VDLL.DLL
c:\windows\system32\runouce.exe
c:\windows\rundll16.exe
c:\windows\RUNDL132.EXE
c:\windows\logo1_.exe
c:\windows\logo_1.exe
C:\$AVG

File::
c:\windows\system32\eEmpty.exe
c:\windows\system32\T.COM
c:\windows\R.COM
c:\windows\system32\tmp9.tmp
c:\windows\system32\tmp5.tmp
c:\windows\system32\tmp1F5.tmp
c:\windows\system32\tmp1F4.tmp

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"=-


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

[Orcus]

Tak nakonec sem se dokopal, naformátoval disk a nainstaloval 7čky ... tím to bude vyřešený takže zavírám:) I tak ale velké díky za snahu a pomoc :)