Prosím o pomoc - Trojský kůň v PC

[zatáčka]

neustále mě trápí nějaké viry.. nedají mi v počítači pokoj... tentokrát je to Trojský kůň který se zabydlel na F:\WINDOWS\system32\svchost.exe\ext.exe:$DATA\[UPX] ... a nejde ho od tam přesunout do truhly. Pomůžete mi prosím?


mod. by Ltb - úprava předmětu z "už zase...Prosím o pomoc" na něco trochu více věcného

[Reklama]

[memphisto]

první sem vlož log z HijackThis ať se ti na to kluci mrknou jestli tam toho nemáš víc

návod zde: http://www.pc-help.cz/viewtopic.php?t=13601

[zatáčka]

Logfile of HijackThis v1.99.0
Scan saved at 10:37:14, on 7.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP Software Update\HPWuSchd2.exe
F:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
F:\Program Files\Comodo\Firewall\CPF.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\ICQ6\ICQ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\COMODO\Firewall\cmdagent.exe
F:\Program Files\Common Files\LightScribe\LSSrvc.exe
F:\PROGRA~1\SPYWAR~1\sp_rsser.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Opera\Opera.exe
F:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Petule\Plocha\DC++\Downloads\WindowsXP ServicePack2_aktualizace_cz\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Program Files\Smart Web Printing\SmartWebPrinting.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RemoteControl] "F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SpywareTerminator] "F:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "F:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "F:\Program Files\ICQ6\ICQ.exe" silent
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs:
O23 - Service: Správa aplikací - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: avast! iAVS4 Control Service - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Zvuk systému Windows - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Služba inteligentního přenosu na pozadí - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Prohledávání počítačů - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Comodo Application Agent - COMODO - F:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Šifrování - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Spouštěč procesů serveru DCOM - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Klient DHCP - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Správce logických disků - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Klient DNS - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Zasílání zpráv o chybách - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Systém událostí modelu COM+ - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Kompatibilita pro rychlé přepínání uživatelů - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Nápověda a odborná pomoc - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: hpqcxs08 - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Služba HP CUE DeviceDiscovery - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: HTTP SSL - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Server - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Pracovní stanice - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: LightScribeService Direct Disc Labeling Service - Hewlett-Packard Company - F:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Podpora rozhraní NetBIOS nad protokolem TCP/IP - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Síťová připojení - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Sledování umístění v síti (NLA) - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Vyměnitelné úložiště - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Správce automatického připojení pomocí vzdáleného přístupu - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Správce vzdáleného přístupu - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Vzdálený registr - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Vzdálené volání procedur (RPC) - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Plánovač úloh - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Sekundární přihlašování - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Oznamování systémových událostí - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Brána Firewall / Sdílení připojení k Internetu (ICS) - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Rozpoznávání hardwaru - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Spyware Terminator Realtime Shield Service - Crawler.com - F:\PROGRA~1\SPYWAR~1\sp_rsser.exe
O23 - Service: Služba obnovení systému - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Služba rozpoznávání pomocí protokolu SSDP - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Načítání obrázků (WIA) - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Telefonní subsystém - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Terminálová služba - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Motivy - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Klient služby sledování distribuovaných propojení - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Hostitel zařízení UPnP - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Systémový čas - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Webový klient - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Služba WMI - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Služba sériového čísla přenosného zařízení - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Rozšíření ovladače WMI - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Centrum zabezpečení - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Automatické aktualizace - Unknown - F:\WINDOWS\system32\svchost.exe
O23 - Service: Automatická konfigurace bezdrátových zařízení - Unknown - F:\WINDOWS\System32\svchost.exe
O23 - Service: Služba pro síťová ustanovení - Unknown - F:\WINDOWS\System32\svchost.exe

[Baron Prášil]

máš starou verzi hijackthis.pošli log z nové http://www.trendsecure.com/portal/en-US ... ckThis.exe

[zatáčka]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:10:31, on 7.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP Software Update\HPWuSchd2.exe
F:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
F:\Program Files\Comodo\Firewall\CPF.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\ICQ6\ICQ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\COMODO\Firewall\cmdagent.exe
F:\Program Files\Common Files\LightScribe\LSSrvc.exe
F:\PROGRA~1\SPYWAR~1\sp_rsser.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Opera\Opera.exe
F:\Documents and Settings\Petule\Data aplikací\Opera\Opera\profile\cache4\temporary_download\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Program Files\Smart Web Printing\SmartWebPrinting.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RemoteControl] "F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SpywareTerminator] "F:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "F:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "F:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs:
O23 - Service: Správa aplikací (AppMgmt) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Zvuk systému Windows (AudioSrv) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Služba inteligentního přenosu na pozadí (BITS) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Prohledávání počítačů (Browser) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - F:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Šifrování (CryptSvc) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Spouštěč procesů serveru DCOM (DcomLaunch) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Klient DHCP (Dhcp) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Správce logických disků (dmserver) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Klient DNS (Dnscache) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Zasílání zpráv o chybách (ERSvc) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Systém událostí modelu COM+ (EventSystem) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Kompatibilita pro rychlé přepínání uživatelů (FastUserSwitchingCompatibility) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Nápověda a odborná pomoc (helpsvc) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: hpqcxs08 - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Služba HP CUE DeviceDiscovery (hpqddsvc) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Server (lanmanserver) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Pracovní stanice (lanmanworkstation) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - F:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Podpora rozhraní NetBIOS nad protokolem TCP/IP (LmHosts) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Síťová připojení (Netman) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Sledování umístění v síti (NLA) (Nla) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Vyměnitelné úložiště (NtmsSvc) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Správce automatického připojení pomocí vzdáleného přístupu (RasAuto) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Správce vzdáleného přístupu (RasMan) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Vzdálený registr (RemoteRegistry) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Vzdálené volání procedur (RPC) (RpcSs) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Plánovač úloh (Schedule) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Sekundární přihlašování (seclogon) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Oznamování systémových událostí (SENS) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Brána Firewall / Sdílení připojení k Internetu (ICS) (SharedAccess) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Rozpoznávání hardwaru (ShellHWDetection) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - F:\PROGRA~1\SPYWAR~1\sp_rsser.exe
O23 - Service: Služba obnovení systému (srservice) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Služba rozpoznávání pomocí protokolu SSDP (SSDPSRV) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Načítání obrázků (WIA) (stisvc) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Telefonní subsystém (TapiSrv) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Terminálová služba (TermService) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Motivy (Themes) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Klient služby sledování distribuovaných propojení (TrkWks) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Hostitel zařízení UPnP (upnphost) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Systémový čas (W32Time) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Webový klient (WebClient) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Služba WMI (winmgmt) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Služba sériového čísla přenosného zařízení (WmdmPmSN) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Rozšíření ovladače WMI (Wmi) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Centrum zabezpečení (wscsvc) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Automatické aktualizace (wuauserv) - Unknown owner - F:\WINDOWS\system32\svchost.exe
O23 - Service: Automatická konfigurace bezdrátových zařízení (WZCSVC) - Unknown owner - F:\WINDOWS\System32\svchost.exe
O23 - Service: Služba pro síťová ustanovení (xmlprov) - Unknown owner - F:\WINDOWS\System32\svchost.exe

--
End of file - 10021 bytes

[Baron Prášil]

Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log, který se ti zobrazí, jinak ho najdeš zde: C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[zatáčka]

ComboFix 07-12-07.5 - Petule 2007-12-07 12:29:24.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.73 [GMT 1:00]
Running from: F:\Documents and Settings\Petule\Plocha\ComboFix.exe
.

((((((((((((((((((((((((( Files Created from 2007-11-07 to 2007-12-07 )))))))))))))))))))))))))))))))
.

2007-12-02 17:46 . 2007-12-02 17:46 <DIR> d-------- F:\Program Files\COMODO
2007-12-02 17:46 . 2007-12-02 17:46 139,008 --a------ F:\WINDOWS\system32\guard32.dll
2007-12-02 16:23 . 2007-12-02 16:23 <DIR> d-------- F:\WINDOWS\SDFIX
2007-12-02 15:44 . 2007-12-07 09:31 <DIR> d-------- F:\Program Files\WinClamAVShield
2007-11-30 19:32 . 2007-11-30 19:32 138,624 --a------ F:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2007-11-30 19:30 . 2007-12-07 09:31 <DIR> d-------- F:\Program Files\Spyware Terminator
2007-11-30 19:28 . 2007-12-02 17:24 <DIR> d-------- F:\Program Files\Crawler
2007-11-26 21:45 . 2004-08-03 23:01 25,856 --a------ F:\WINDOWS\system32\drivers\usbprint.sys
2007-11-26 21:45 . 2004-08-03 23:01 25,856 --a--c--- F:\WINDOWS\system32\dllcache\usbprint.sys
2007-11-24 16:04 . 2001-08-17 20:13 27,165 --a------ F:\WINDOWS\system32\drivers\fetnd5.sys
2007-11-24 16:04 . 2001-08-17 20:13 27,165 --a--c--- F:\WINDOWS\system32\dllcache\fetnd5.sys
2007-11-24 15:35 . 2007-12-02 10:14 4,608 --a------ F:\WINDOWS\system32\drivers\ntoss.sys
2007-11-24 15:35 . 2007-12-02 10:15 2,464 --a------ F:\WINDOWS\system32\drivers\ntosnh.sys
2007-11-21 20:26 . 2004-08-17 15:43 30,080 --a--c--- F:\WINDOWS\system32\dllcache\modem.sys
2007-11-21 20:24 . 2004-08-03 22:59 34,688 --a--c--- F:\WINDOWS\system32\dllcache\lbrtfdc.sys
2007-11-21 20:12 . 2001-08-17 21:52 18,688 --a--c--- F:\WINDOWS\system32\dllcache\cdaudio.sys
2007-11-21 20:12 . 2004-08-03 23:00 8,192 --a--c--- F:\WINDOWS\system32\dllcache\i2omgmt.sys
2007-11-21 20:12 . 2004-08-03 23:00 8,192 --a--c--- F:\WINDOWS\system32\dllcache\changer.sys
2007-11-21 20:08 . 2007-11-21 20:08 22,528 -r-h----- F:\WINDOWS\system32\svchi.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-06 07:31 --------- d-----w F:\Program Files\ICQToolbar
2007-11-30 18:51 --------- d--h--w F:\Program Files\InstallShield Installation Information
2007-11-30 18:51 --------- d-----w F:\Program Files\Common Files\InstallShield
2007-11-27 08:19 --------- d-----w F:\Program Files\rajce
2007-11-21 19:08 14,336 ----a-w F:\WINDOWS\system32\svchost.exe
2007-11-03 21:00 --------- d-----w F:\Program Files\CDV
2007-10-28 14:53 --------- d-----w F:\Program Files\HP
2007-10-28 14:53 --------- d-----w F:\Program Files\Common Files\HP
2007-10-24 05:07 --------- d-----w F:\Program Files\Aberger
2007-10-20 06:46 --------- d-----w F:\Program Files\ICQ6
2007-10-20 06:40 --------- d-----w F:\Program Files\ICQLite
2007-10-18 19:47 --------- d-----w F:\Program Files\Office 2000
2007-10-18 19:47 --------- d-----w F:\Program Files\microsoft frontpage
2007-10-18 18:54 --------- d-----w F:\Program Files\Microsoft.NET
2007-10-18 18:54 --------- d-----w F:\Program Files\Microsoft ActiveSync
2007-10-18 18:04 --------- d-----w F:\Program Files\Common Files\WhenU
2007-10-10 20:44 --------- d-----w F:\Program Files\New York Race
2007-10-10 20:44 --------- d-----w F:\Program Files\GameSpy Arcade
2007-10-07 11:56 --------- d-----w F:\Program Files\directx
2004-10-01 13:00 40,960 ----a-w F:\Program Files\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((( snapshot@2007-12-07_12.27.31.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 09:57:10 163,328 ----a-w F:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2007-12-07 11:33:30 16,384 ----atw F:\WINDOWS\Temp\Perflib_Perfdata_5b0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\ctfmon.exe" [2004-08-17 14:49]
"PowerBar"="" []
"ICQ"="F:\Program Files\ICQ6\ICQ.exe" [2007-10-11 14:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 19:24]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"avast!"="F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"HP Software Update"="C:\Program Files\HP Software Update\HPWuSchd2.exe" [2006-12-10 21:52]
"SpywareTerminator"="F:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe" [2007-11-30 19:30]
"COMODO Firewall Pro"="F:\Program Files\Comodo\Firewall\CPF.exe" [2007-12-07 10:20]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\CTFMON.EXE" [2004-08-17 14:49]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\F:\WINDOWS\system32\drivers\sp_rsdrv2.sys
R3 PSched;Plánovač paketů technologie QoS;F:\WINDOWS\system32\DRIVERS\psched.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\SETUP.EXE /AUTORUN
\Shell\configure\command - J:\SETUP.EXE
\Shell\install\command - J:\SETUP.EXE

.
------------------

PROCESS: F:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> F:\DOCUME~1\Petule\LOCALS~1\Temp\foenellc.dll
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 12:33:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-07 12:41:14 - machine was rebooted
F:\ComboFix2.txt ... 2007-12-07 12:28
.
--- E O F ---

[Baron Prášil]

použij avenger http://www.spyware.cz/go.php?p=spyware&t=aplikace&id=35

a tento skript

Files to delete:
F:\WINDOWS\system32\drivers\ntoss.sys
F:\WINDOWS\system32\drivers\ntosnh.sys
F:\WINDOWS\system32\svchi.exe

Folders to delete:
F:\Program Files\Common Files\WhenU

toto F:\DOCUME~1\Petule\LOCALS~1\Temp\foenellc.dll
nech zkontrolovat tady
http://www.virustotal.com/flash/index_en.html
(nepoužívej "Procházet" ale vlož do okna celou cestu,tučně označenou,k souboru metodou Ctrl+C > Ctrl+V)

pošli výsledky a log z avengeru

[zatáčka]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hfybxomc

*******************

Script file located at: \??\F:\djfaggcj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

File F:\WINDOWS\system32\drivers\ntoss.sys deleted successfully.
File F:\WINDOWS\system32\drivers\ntosnh.sys deleted successfully.
File F:\WINDOWS\system32\svchi.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



akorát jsem napřed mazala files a pak folders a log folders nemám

[Baron Prášil]

a výsledek virustotal?
a chování kompu?

[zatáčka]

Virus total stále projíždí... PC se chová normálně, teda zatím

[zatáčka]

nějak se to nemá k tomu, aby to dokončilo...