Prosím o kontrolu logu - strašně pomalý netbook

[Orcus]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok).
Zkopíruj do něj následující celý text označený červeně:

ClearJavaCache::
KillAll::

File::
c:\windows\Tasks\Adobe Flash Player Updater.job
c:\windows\Tasks\avast! Emergency Update.job
c:\windows\Tasks\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85}.job
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job


Folder::
c:\program files (x86)\Google\Update\
c:\program files\Skype\Updater\

RegLock::
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_15_0_0_239_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_15_0_0_239_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix, oprava může trvat i déle než 10 minut. ! Nech ComboFix dokončit svou práci !
- Vlož sem log, který vyběhne v závěru čistícího procesu

Upozornění : Může se stát, že po aplikaci skriptu a restartu počítače Windows nenaběhnou, pak znovu restartuj počítač, mačkej F8 a pak zvol poslední známou funkční konfiguraci.

====================================================

Stáhni si aswMBR
na svojí plochu. Uzavři všechna okna , programy a prohlížeče. Poklepej na aswMBR.exe. Pokud se objeví hláška o možnosti stáhnutí databáze Avastu , klikni na NE. Poté klikni na „Scan“ . Po skenu klikni na „Save Log“ a ulož si log na plochu .Zkopíruj sem celý obsah toho logu. Pak klikni na „Exit“ k zavření programu.

[Reklama]

[Sandra74]

ComboFix 14-12-10.03 - SandraD 12.12.2014 11:16:08.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1014.448 [GMT 1:00]
Spuštěný z: c:\documents and settings\SandraD\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\SandraD\Plocha\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: COMODO Firewall *Disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
* Vytvořen nový Bod Obnovení
.
FILE ::
"c:\windows\Tasks\Adobe Flash Player Updater.job"
"c:\windows\Tasks\avast! Emergency Update.job"
"c:\windows\Tasks\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85}.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SkypeUpdate
-------\Service_SkypeUpdate
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2014-11-12 do 2014-12-12 )))))))))))))))))))))))))))))))
.
.
2014-12-01 17:56 . 2014-12-01 15:58 24064 ----a-w- c:\windows\zoek-delete.exe
2014-12-01 15:59 . 2014-12-01 17:19 -------- d-----w- C:\zoek_backup
2014-11-29 18:57 . 2014-12-01 15:40 34808 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2014-11-29 18:57 . 2014-11-29 18:57 -------- d-----w- c:\documents and settings\All Users\Data aplikací\RogueKiller
2014-11-29 12:33 . 2014-11-29 12:33 -------- d-----w- c:\windows\ERUNT
2014-11-28 13:29 . 2014-11-28 13:30 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2014-11-28 13:29 . 2014-10-01 10:11 54360 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2014-11-28 13:29 . 2014-10-01 10:11 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2014-11-28 13:24 . 2014-11-28 13:26 -------- d-----w- c:\documents and settings\Administrator
2014-11-28 12:34 . 2014-11-29 12:23 -------- d-----w- C:\AdwCleaner
2014-11-27 14:52 . 2014-11-27 14:52 -------- d-----w- c:\program files\MSECache
2014-11-26 18:06 . 2014-11-26 18:05 291352 ----a-w- c:\windows\system32\aswBoot.exe
2014-11-26 18:05 . 2014-11-26 18:05 43152 ----a-w- c:\windows\avastSS.scr
2014-11-25 16:27 . 2014-11-25 16:27 -------- d-----w- c:\program files\WinDjView
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-12-10 12:50 . 2013-09-25 17:06 701104 -c--a-w- c:\windows\system32\FlashPlayerApp.exe
2014-12-10 12:50 . 2013-09-25 17:06 71344 -c--a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-11-26 18:10 . 2011-07-06 11:36 787800 ----a-w- c:\windows\system32\drivers\aswsnx.sys
2014-11-26 18:10 . 2011-01-28 17:29 423784 ----a-w- c:\windows\system32\drivers\aswsp.sys
2014-11-26 18:05 . 2014-08-25 17:13 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
2014-11-26 18:05 . 2013-02-28 21:18 206248 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2014-11-26 18:05 . 2013-02-28 21:18 70384 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2014-11-26 18:05 . 2013-02-28 21:18 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2014-11-26 18:05 . 2011-01-28 17:29 55240 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2014-11-26 18:05 . 2011-01-28 17:29 57928 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2014-10-20 08:16 . 2014-10-20 08:17 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2014-10-20 08:16 . 2014-10-20 08:18 145408 ----a-w- c:\windows\system32\javacpl.cpl
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-11-26 18:05 723976 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SRS Premium Sound"="c:\program files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" [2009-05-19 3417336]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-05-01 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-05-01 354840]
"PersistenceThread"="c:\windows\system32\PersistenceThread.exe" [2009-05-01 92696]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-11 17881600]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2009-06-04 696320]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2009-05-08 98304]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-03-06 79144]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cistray.exe" [2013-11-11 1576152]
"AvastUI.exe"="c:\program files\Alwil Software\Avast5\AvastUI.exe" [2014-11-26 5226600]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2014-09-26 271744]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-05-08 959904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-16 376832]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igdlogin]
2009-04-28 03:44 65536 -c--a-w- c:\windows\system32\igdlogin.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:14ec2c9ab /dir:C:\Program
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-05-08 13:48 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\BitTorrent\\BitTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 aswRvrt;avast! Revert;c:\windows\system32\drivers\aswRvrt.sys [28.2.2013 22:18 49944]
R0 aswVmm;avast! VM Monitor;c:\windows\system32\drivers\aswVmm.sys [28.2.2013 22:18 206248]
R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswsnx.sys [6.7.2011 12:36 787800]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswsp.sys [28.1.2011 18:29 423784]
R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [14.12.2012 20:45 15704]
R1 cmdGuard;COMODO Internet Security Driver;c:\windows\system32\drivers\cmdGuard.sys [14.12.2012 20:45 587864]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [14.12.2012 20:45 30552]
R1 FNETURPX;FNETURPX;c:\windows\system32\drivers\FNETURPX.SYS [29.10.2012 22:11 14656]
R2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [25.8.2014 18:13 24184]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [28.2.2013 22:18 70384]
R2 SRS_VolSync_Service;SRS Volume Sync Service;c:\program files\SRS Labs\SRS Premium Sound\SRS_VolSync.exe [19.5.2009 17:29 107744]
R3 igd;igd;c:\windows\system32\drivers\igxpmp32.sys [16.6.2009 16:47 5096544]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [4.6.2009 2:54 38912]
R3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\system32\drivers\SRS_PremiumSound_i386.sys [16.6.2009 19:20 233512]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [4.6.2009 2:54 39040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [16.6.2009 16:48 1684736]
S3 cmdvirth;COMODO Virtual Service Manager;c:\program files\Comodo\COMODO Internet Security\cmdvirth.exe [14.12.2012 20:45 131288]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-11-26 17:30 1087304 ----a-w- c:\program files\Google\Chrome\Application\39.0.2171.71\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2014-12-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-09-25 12:51]
.
2014-12-12 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\Alwil Software\Avast5\AvastEmUpdate.exe [2014-11-26 18:05]
.
2014-12-12 c:\windows\Tasks\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85}.job
- c:\program files\COMODO\COMODO Internet Security\cfpconfg.exe [2012-12-14 14:58]
.
2014-12-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-01-28 18:14]
.
2014-12-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-01-28 18:14]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Odeslat do zařízení &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Odeslat do zařízení Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.100.1
FF - ProfilePath - c:\documents and settings\SandraD\Data aplikací\Mozilla\Firefox\Profiles\5xb4j678.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-12-12 12:01
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'lsass.exe'(880)
c:\windows\system32\MPR.dll
c:\windows\system32\guard32.dll
c:\windows\system32\mswsock.dll
c:\windows\System32\wshtcpip.dll
.
- - - - - - - > 'explorer.exe'(3292)
c:\windows\system32\guard32.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\MPR.dll
.
- - - - - - - > 'csrss.exe'(792)
c:\windows\system32\cmdcsr.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Java\jre7\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wscntfy.exe
c:\program files\COMODO\COMODO Internet Security\cavwp.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\program files\ROCCAT\Kova[+] Mouse\Kova[+]Monitor.EXE
c:\windows\system32\igfxext.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\COMODO\COMODO Internet Security\cis.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Celkový čas: 2014-12-12 12:16:37 - počítač byl restartován
ComboFix-quarantined-files.txt 2014-12-12 11:16
ComboFix2.txt 2014-12-09 18:23
.
Před spuštěním: 1 922 023 424
Po spuštění: 1 847 517 184
.
- - End Of File - - 2826F868E0ABDB67EA3416E7A930BEFE
8F558EB6672622401DA993E1E865C861

[Sandra74]

Na konci vyhodil ComboFix upozornění, že nemohl vytvořit zálohu následujících souborů:
C:\WINDOWS\system32\config\SECURITY a pak software, system, default a SAM.

[Sandra74]

aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2014-12-12 12:44:46
-----------------------------
12:44:46.750 OS Version: Windows 5.1.2600 Service Pack 3
12:44:46.750 Number of processors: 2 586 0x1C02
12:44:46.750 ComputerName: SANDRA UserName:
12:44:51.093 Initialize success
12:44:51.250 VM: initialized successfully
12:44:51.250 VM: Intel CPU supported
12:45:11.015 AVAST engine defs: 14121100
12:45:19.234 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
12:45:19.250 Disk 0 Vendor: Hitachi_HTS543216L9SA00 FB2OC40C Size: 152627MB BusType: 3
12:45:19.359 Disk 0 MBR read successfully
12:45:19.375 Disk 0 MBR scan
12:45:19.390 Disk 0 Windows XP default MBR code
12:45:19.390 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 84811 MB offset 63
12:45:19.406 Disk 0 Boot: NTFS code=1
12:45:19.453 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 62761 MB offset 173694780
12:45:19.515 Disk 0 Partition 3 00 1C Hidd FAT32 LBA MSDOS5.0 5004 MB offset 302230845
12:45:19.546 Disk 0 Partition 4 00 EF EFI FAT A1359 47 MB offset 312480315
12:45:19.609 Disk 0 scanning sectors +312576705
12:45:19.796 Disk 0 scanning C:\WINDOWS\system32\drivers
12:45:38.750 Service scanning
12:46:10.250 Modules scanning
12:46:10.265 \Driver\atapi DriverInit @ 0x865da288 suspicious
12:46:10.281 \Driver\usbuhci MajorFunction[ IRP_MJ_CREATE ] @ 0x863df1e8 suspicious
12:46:10.296 \Driver\usbuhci MajorFunction[ IRP_MJ_CLOSE ] @ 0x863df1e8 suspicious
12:46:10.312 \Driver\usbuhci MajorFunction[ IRP_MJ_DEVICE_CONTROL ] @ 0x863df1e8 suspicious
12:46:10.328 \Driver\usbuhci MajorFunction[ IRP_MJ_INTERNAL_DEVICE_CONTROL ] @ 0x863df1e8 suspicious
12:46:10.343 \Driver\usbuhci MajorFunction[ IRP_MJ_POWER ] @ 0x863df1e8 suspicious
12:46:10.359 \Driver\usbuhci MajorFunction[ IRP_MJ_SYSTEM_CONTROL ] @ 0x863df1e8 suspicious
12:46:10.375 \Driver\NetBT MajorFunction[ IRP_MJ_CREATE ] @ 0x8573b1e8 suspicious
12:46:10.390 \Driver\NetBT MajorFunction[ IRP_MJ_CLOSE ] @ 0x8573b1e8 suspicious
12:46:10.406 \Driver\NetBT MajorFunction[ IRP_MJ_DEVICE_CONTROL ] @ 0x8573b1e8 suspicious
12:46:10.421 \Driver\NetBT MajorFunction[ IRP_MJ_INTERNAL_DEVICE_CONTROL ] @ 0x8573b1e8 suspicious
12:46:10.437 \Driver\NetBT MajorFunction[ IRP_MJ_CLEANUP ] @ 0x8573b1e8 suspicious
12:46:10.453 \Driver\usbehci MajorFunction[ IRP_MJ_CREATE ] @ 0x863bd1e8 suspicious
12:46:10.453 \Driver\usbehci MajorFunction[ IRP_MJ_CLOSE ] @ 0x863bd1e8 suspicious
12:46:10.468 \Driver\usbehci MajorFunction[ IRP_MJ_DEVICE_CONTROL ] @ 0x863bd1e8 suspicious
12:46:10.484 \Driver\usbehci MajorFunction[ IRP_MJ_INTERNAL_DEVICE_CONTROL ] @ 0x863bd1e8 suspicious
12:46:10.500 \Driver\usbehci MajorFunction[ IRP_MJ_POWER ] @ 0x863bd1e8 suspicious
12:46:10.515 \Driver\usbehci MajorFunction[ IRP_MJ_SYSTEM_CONTROL ] @ 0x863bd1e8 suspicious
12:46:10.531 Disk 0 trace - called modules:
12:46:10.625 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sptd.sys pciide.sys PCIIDEX.SYS
12:46:10.640 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86549ab8]
12:46:10.656 3 CLASSPNP.SYS[f7630fd7] -> nt!IofCallDriver -> \Device\0000006d[0x8653e1e8]
12:46:10.671 5 ACPI.sys[f73ac620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8654b940]
12:46:11.453 AVAST engine scan C:\WINDOWS
12:46:18.828 AVAST engine scan C:\WINDOWS\system32
12:49:50.750 AVAST engine scan C:\WINDOWS\system32\drivers
12:50:12.765 AVAST engine scan C:\Documents and Settings\SandraD
13:01:44.250 File: C:\Documents and Settings\SandraD\Local Settings\Data aplikací\Google\Chrome\User Data\Default\File System\003\t\00\00000000 **INFECTED** Win32:Evo-gen [Susp]
13:08:05.953 File: C:\Documents and Settings\SandraD\Plocha\zoek.exe **INFECTED** Win32:Malware-gen
13:08:20.234 AVAST engine scan C:\Documents and Settings\All Users
13:09:11.921 Disk 0 statistics 2105176/0/0 @ 1,02 MB/s
13:09:11.937 Scan finished successfully
13:11:32.265 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\SandraD\Plocha\MBR.dat"
13:11:32.296 The log file has been saved successfully to "C:\Documents and Settings\SandraD\Plocha\aswMBR.txt"

[Sandra74]

Děkuji!

[jaro3]

Spusť znovu aswMBR , dej sken a poté klikni na „Fix“
Zavři program , restartuj PC , po restartu

Po restartu vypni obnovení systému na všech discích.
http://support.microsoft.com/kb/310405/cs
Podívej se sem:
C:\System Volume Information\Microsoft--- pokud tam je tato složka (Microsoft) , tak jí smaž.
Nakonec si znovu zapni obnovu systému.
znovu spusť aswMBR a dej sken , klikni na „Save log“
Obsah logu sem znovu vlož.

Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

Kód: Vybrat vše

KillAll::
File::
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

Folder::
c:\program files\Google\Update

Driver::
sptd

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

[Sandra74]

Nevím, co se děje, ale nepodařilo se mi provést nic z toho, co jsi napsal.
aswMBR - sken proběhne v pořádku, ale pak je neaktivní tlačítko FIX. Tlačítko FIX MBR jsem taky zkoušela, ale nefunguje - po jeho zmáčknutí se nic neděje. Při skenu to jeden řádek vysvítilo červeně (neznám cestu, byla dlouhá a nevešla se do okna programu celá), tak jsem chtěla uložit log - napsal, že log uložil v pořádku, ale není k nalezení v daném umístění, dokonce ani v celém počítači. Zkoušela jsem program stáhnout znovu, znovu spustit, znovu stejný problém, kdy se log (i po přejmenování) jakože uloží a přitom v pc vůbec neexistuje.
Combofix - úvodní okno se zelenýma písmenkama najede v pohodě, pak zmizí a program nic nedělá. Opět jsem zkoušela několikrát. Navíc tuším, že ten script by měl po přetažení na ikonu Combofixu zmizet, tak nezmizel.

Nakonec jsem chtěla udělat alespoň další HJT, ale vyhodil chybu - viz obrázek v příloze, a pak se seknul.

Ještě jsem zjistila, že mi asi týden nefunguje na notebooku ovládání zvuku - mám tu tlačítko Fn a když mačkám příslušná tlačítka, můžu zvuk zesilovat nebo ztišovat nebo úplně vypnout. Tak to fungovalo a už to nefunguje. Jinak samotný zvuk jede.

Žádný nový program jsem do pc neinstalovala.

Děkuji za pomoc a přeji pěkné sváteční dny :)

[jaro3]

V nouz. režimu udělej znovu tento script:

Kód: Vybrat vše

KillAll::
File::
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
C:\Documents and Settings\SandraD\Local Settings\Data aplikací\Google\Chrome\User Data\Default\File System\003\t\00\00000000


Folder::
c:\program files\Google\Update
C:\Documents and Settings\SandraD\Local Settings\Data aplikací\Google\Chrome\User Data\Default\File System\003\t\00\00000000

Driver::
sptd



[Sandra74]

Díky moc za radu. Trvalo teda věčnost, než vyhodil log a uložil ho, ale byla jsem trpělivá, takže tady je

ComboFix 14-12-23.01 - SandraD 24.12.2014 17:34:06.3.2 - x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1014.654 [GMT 1:00]
Spuštěný z: c:\documents and settings\SandraD\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\SandraD\Plocha\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: COMODO Firewall *Disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
FILE ::
"c:\documents and settings\SandraD\Local Settings\Data aplikací\Google\Chrome\User Data\Default\File System\003\t\00\00000000"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Google\Update
c:\program files\Google\Update\1.3.25.11\GoogleCrashHandler.exe
c:\program files\Google\Update\1.3.25.11\GoogleCrashHandler64.exe
c:\program files\Google\Update\1.3.25.11\GoogleUpdate.exe
c:\program files\Google\Update\1.3.25.11\GoogleUpdateBroker.exe
c:\program files\Google\Update\1.3.25.11\GoogleUpdateComRegisterShell64.exe
c:\program files\Google\Update\1.3.25.11\GoogleUpdateHelper.msi
c:\program files\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe
c:\program files\Google\Update\1.3.25.11\GoogleUpdateSetup.exe
c:\program files\Google\Update\1.3.25.11\goopdate.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_am.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ar.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_bg.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_bn.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ca.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_cs.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_da.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_de.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_el.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_en-GB.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_en.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_es-419.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_es.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_et.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_fa.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_fi.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_fil.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_fr.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_gu.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_hi.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_hr.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_hu.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_id.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_is.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_it.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_iw.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ja.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_kn.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ko.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_lt.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_lv.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ml.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_mr.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ms.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_nl.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_no.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_pl.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_pt-BR.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_pt-PT.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ro.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ru.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_sk.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_sl.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_sr.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_sv.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_sw.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ta.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_te.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_th.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_tr.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_uk.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_ur.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_vi.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_zh-CN.dll
c:\program files\Google\Update\1.3.25.11\goopdateres_zh-TW.dll
c:\program files\Google\Update\1.3.25.11\npGoogleUpdate3.dll
c:\program files\Google\Update\1.3.25.11\psmachine.dll
c:\program files\Google\Update\1.3.25.11\psmachine_64.dll
c:\program files\Google\Update\1.3.25.11\psuser.dll
c:\program files\Google\Update\1.3.25.11\psuser_64.dll
c:\program files\Google\Update\Download\{430FD4D0-B729-4F61-AA34-91526481799D}\1.3.25.11\GoogleUpdateSetup.exe
c:\program files\Google\Update\Download\{4DC8B4CA-1BDA-483E-B5FA-D3C12E15B62D}\39.0.2171.95\39.0.2171.95_39.0.2171.71_chrome_updater.exe
c:\program files\Google\Update\Download\{ED28A797-FCD3-4582-A240-B203E2FAD35C}\GoogleUpdateSetup.exe
c:\program files\Google\Update\GoogleUpdate.exe
c:\windows\iun6002.exe
c:\windows\system32\con
c:\windows\system32\Thumbs.db
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SPTD
-------\Service_sptd
-------\Legacy_gupdate
-------\Legacy_gupdatem
-------\Legacy_gupdate
-------\Legacy_gupdatem
-------\Service_gupdate
-------\Service_gupdatem
-------\Service_gupdate
-------\Service_gupdatem
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2014-11-24 do 2014-12-24 )))))))))))))))))))))))))))))))
.
.
2014-12-12 22:42 . 2014-12-12 22:45 -------- d-----w- c:\documents and settings\SandraD\.FBReader
2014-12-12 22:41 . 2014-12-12 22:41 -------- d-----w- c:\program files\FBReader
2014-12-01 17:56 . 2014-12-01 15:58 24064 ----a-w- c:\windows\zoek-delete.exe
2014-12-01 15:59 . 2014-12-01 17:19 -------- d-----w- C:\zoek_backup
2014-11-29 18:57 . 2014-12-01 15:40 34808 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2014-11-29 18:57 . 2014-11-29 18:57 -------- d-----w- c:\documents and settings\All Users\Data aplikací\RogueKiller
2014-11-29 12:33 . 2014-11-29 12:33 -------- d-----w- c:\windows\ERUNT
2014-11-28 13:24 . 2014-11-28 13:26 -------- d-----w- c:\documents and settings\Administrator
2014-11-28 12:34 . 2014-11-29 12:23 -------- d-----w- C:\AdwCleaner
2014-11-27 14:52 . 2014-11-27 14:52 -------- d-----w- c:\program files\MSECache
2014-11-26 18:06 . 2014-11-26 18:05 291352 ----a-w- c:\windows\system32\aswBoot.exe
2014-11-26 18:05 . 2014-11-26 18:05 43152 ----a-w- c:\windows\avastSS.scr
2014-11-25 16:27 . 2014-11-25 16:27 -------- d-----w- c:\program files\WinDjView
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-12-15 09:26 . 2013-09-25 17:06 701616 -c--a-w- c:\windows\system32\FlashPlayerApp.exe
2014-12-15 09:26 . 2013-09-25 17:06 71344 -c--a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-12-09 00:20 . 2012-12-14 19:45 29912 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2014-12-09 00:20 . 2012-12-14 19:45 105560 -c--a-w- c:\windows\system32\drivers\inspect.sys
2014-12-09 00:20 . 2012-12-14 19:45 619992 ----a-w- c:\windows\system32\drivers\cmdGuard.sys
2014-12-09 00:20 . 2012-12-14 19:45 15576 ----a-w- c:\windows\system32\drivers\cmderd.sys
2014-12-09 00:20 . 2012-12-14 19:45 33520 ----a-w- c:\windows\system32\cmdcsr.dll
2014-12-09 00:20 . 2012-12-14 19:45 352272 ----a-w- c:\windows\system32\guard32.dll
2014-12-09 00:20 . 2012-12-14 19:45 286424 -c--a-w- c:\windows\system32\cmdvrt32.dll
2014-12-09 00:20 . 2012-09-04 18:07 40664 -c--a-w- c:\windows\system32\cmdkbd32.dll
2014-11-26 18:10 . 2011-07-06 11:36 787800 ----a-w- c:\windows\system32\drivers\aswsnx.sys
2014-11-26 18:10 . 2011-01-28 17:29 423784 ----a-w- c:\windows\system32\drivers\aswsp.sys
2014-11-26 18:05 . 2014-08-25 17:13 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
2014-11-26 18:05 . 2013-02-28 21:18 206248 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2014-11-26 18:05 . 2013-02-28 21:18 70384 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2014-11-26 18:05 . 2013-02-28 21:18 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2014-11-26 18:05 . 2011-01-28 17:29 55240 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2014-11-26 18:05 . 2011-01-28 17:29 57928 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2014-10-20 08:16 . 2014-10-20 08:17 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2014-10-20 08:16 . 2014-10-20 08:18 145408 ----a-w- c:\windows\system32\javacpl.cpl
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-11-26 18:05 723976 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SRS Premium Sound"="c:\program files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" [2009-05-19 3417336]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-05-01 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-05-01 354840]
"PersistenceThread"="c:\windows\system32\PersistenceThread.exe" [2009-05-01 92696]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-11 17881600]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2009-05-08 98304]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-03-06 79144]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cistray.exe" [2014-12-09 1243352]
"AvastUI.exe"="c:\program files\Alwil Software\Avast5\AvastUI.exe" [2014-12-12 5227112]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2014-09-26 271744]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-05-08 959904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-16 376832]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igdlogin]
2009-04-28 03:44 65536 -c--a-w- c:\windows\system32\igdlogin.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:14ec2c9ab /dir:C:\Program
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-05-08 13:48 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\BitTorrent\\BitTorrent.exe"=
"c:\\Program Files\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 aswRvrt;avast! Revert;c:\windows\system32\drivers\aswRvrt.sys [28.2.2013 22:18 49944]
R0 aswVmm;avast! VM Monitor;c:\windows\system32\drivers\aswVmm.sys [28.2.2013 22:18 206248]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswsnx.sys [6.7.2011 12:36 787800]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswsp.sys [28.1.2011 18:29 423784]
R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [14.12.2012 20:45 15576]
R1 cmdGuard;COMODO Internet Security Driver;c:\windows\system32\drivers\cmdGuard.sys [14.12.2012 20:45 619992]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [14.12.2012 20:45 29912]
R1 FNETURPX;FNETURPX;c:\windows\system32\drivers\FNETURPX.SYS [29.10.2012 22:11 14656]
R2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [25.8.2014 18:13 24184]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [28.2.2013 22:18 70384]
R2 SRS_VolSync_Service;SRS Volume Sync Service;c:\program files\SRS Labs\SRS Premium Sound\SRS_VolSync.exe [19.5.2009 17:29 107744]
R3 cmdvirth;COMODO Virtual Service Manager;c:\program files\Comodo\COMODO Internet Security\cmdvirth.exe [14.12.2012 20:45 1664216]
R3 igd;igd;c:\windows\system32\drivers\igxpmp32.sys [16.6.2009 16:47 5096544]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [4.6.2009 2:54 38912]
R3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\system32\drivers\SRS_PremiumSound_i386.sys [16.6.2009 19:20 233512]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [4.6.2009 2:54 39040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [16.6.2009 16:48 1684736]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-12-13 09:31 1087816 ----a-w- c:\program files\Google\Chrome\Application\39.0.2171.95\Installer\chrmstp.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2014-12-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-09-25 09:26]
.
2014-12-24 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\Alwil Software\Avast5\AvastEmUpdate.exe [2014-11-26 18:05]
.
2014-12-24 c:\windows\Tasks\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59}.job
- c:\program files\COMODO\COMODO Internet Security\cfpconfg.exe [2012-12-14 00:19]
.
2014-12-24 c:\windows\Tasks\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85}.job
- c:\program files\COMODO\COMODO Internet Security\cfpconfg.exe [2012-12-14 00:19]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Odeslat do zařízení &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Odeslat do zařízení Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.100.1
FF - ProfilePath - c:\documents and settings\SandraD\Data aplikací\Mozilla\Firefox\Profiles\5xb4j678.default\
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-12-24 17:46
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_16_0_0_235_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_16_0_0_235_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cmdAgent\Mode\Configurations]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cmdAgent\Mode\Data]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cmdAgent\Mode\Options]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\System\Software\Comodo\Cam]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\System\Software\Comodo\Firewall Pro]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'lsass.exe'(876)
c:\windows\system32\MPR.dll
c:\windows\system32\guard32.dll
c:\windows\system32\mswsock.dll
c:\windows\System32\wshtcpip.dll
.
- - - - - - - > 'explorer.exe'(1668)
c:\windows\system32\guard32.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
c:\windows\system32\MPR.dll
.
- - - - - - - > 'csrss.exe'(788)
c:\windows\system32\cmdcsr.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Java\jre7\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wscntfy.exe
c:\program files\COMODO\COMODO Internet Security\cavwp.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\ROCCAT\Kova[+] Mouse\Kova[+]Monitor.EXE
c:\windows\system32\igfxext.exe
c:\program files\COMODO\COMODO Internet Security\cis.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Celkový čas: 2014-12-24 18:57:59 - počítač byl restartován
ComboFix-quarantined-files.txt 2014-12-24 17:53
ComboFix2.txt 2014-12-12 11:16
ComboFix3.txt 2014-12-09 18:23
.
Před spuštěním: Volných bajtů: 14 710 845 440
Po spuštění: Volných bajtů: 14 612 729 856
.
- - End Of File - - D7F001711EE6F62FDE39B7B7D58944C2
8F558EB6672622401DA993E1E865C861


Mám teď provést ty kroky, jak jsi psal předtím, co mi nešly? Díky

[jaro3]

udělej znovu sken aswMBR.

+
Vlož nový log z HJT

[Sandra74]

Oboje se povedlo až v nouzovém režimu, jinak v normálním režimu se aswMBR zase tvářil, že uložil log, ale v počítači vůbec není a HJT vyhodil stejnou chybu jako včera a pak se seknul.
Tady jsou logy:

aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2014-12-25 15:40:21
-----------------------------
15:40:21.046 OS Version: Windows 5.1.2600 Service Pack 3
15:40:21.046 Number of processors: 2 586 0x1C02
15:40:21.046 ComputerName: SANDRA UserName:
15:40:21.531 Initialize success
15:40:24.437 AVAST engine defs: 14122500
15:40:57.859 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
15:40:57.875 Disk 0 Vendor: Hitachi_HTS543216L9SA00 FB2OC40C Size: 152627MB BusType: 3
15:40:58.046 Disk 0 MBR read successfully
15:40:58.062 Disk 0 MBR scan
15:40:58.609 Disk 0 Windows XP default MBR code
15:40:58.640 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 84811 MB offset 63
15:40:58.671 Disk 0 Boot: NTFS code=1
15:40:58.890 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 62761 MB offset 173694780
15:40:58.968 Disk 0 Partition 3 00 1C Hidd FAT32 LBA MSDOS5.0 5004 MB offset 302230845
15:40:59.062 Disk 0 Partition 4 00 EF EFI FAT A1359 47 MB offset 312480315
15:40:59.171 Disk 0 scanning sectors +312576705
15:40:59.390 Disk 0 scanning C:\WINDOWS\system32\drivers
15:41:13.703 Service scanning
15:41:38.968 Modules scanning
15:41:39.031 Disk 0 trace - called modules:
15:41:39.093 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
15:41:39.140 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f4eab8]
15:41:39.187 3 CLASSPNP.SYS[f767ffd7] -> nt!IofCallDriver -> \Device\0000006a[0x86f71388]
15:41:39.234 5 ACPI.sys[f75f6620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86fa76b0]
15:41:39.531 AVAST engine scan C:\WINDOWS
15:41:45.187 AVAST engine scan C:\WINDOWS\system32
15:44:25.593 AVAST engine scan C:\WINDOWS\system32\drivers
15:44:42.562 AVAST engine scan C:\Documents and Settings\SandraD
15:52:24.640 File: C:\Documents and Settings\SandraD\Local Settings\Data aplikací\Google\Chrome\User Data\Default\File System\003\t\00\00000000 **INFECTED** Win32:Evo-gen [Susp]
16:05:19.375 AVAST engine scan C:\Documents and Settings\All Users
16:05:56.390 Disk 0 statistics 2233918/0/0 @ 0,91 MB/s
16:05:56.453 Scan finished successfully
16:21:59.453 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\SandraD\Dokumenty\MBR.dat"
16:21:59.484 The log file has been saved successfully to "C:\Documents and Settings\SandraD\Dokumenty\aswMBR.txt"


---

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:42:11, on 25.12.2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

FIREFOX: 33.0.2 (x86 cs)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\SandraD\Plocha\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PersistenceThread] C:\WINDOWS\system32\PersistenceThread.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [SynAsusAcpi] C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [RoccatKova+] "C:\Program Files\ROCCAT\Kova[+] Mouse\Kova[+]Monitor.EXE"
O4 - HKLM\..\Run: [COMODO Internet Security] C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\Alwil Software\Avast5\AvastUI.exe" /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [SRS Premium Sound] "C:\Program Files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Odeslat do zařízení &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Odeslat do zařízení Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O20 - Winlogon Notify: igdlogin - igdlogin.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: COMODO Virtual Service Manager (cmdvirth) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: SRS Volume Sync Service (SRS_VolSync_Service) - SRS Labs, Inc. - C:\Program Files\SRS Labs\SRS Premium Sound\SRS_VolSync.exe

--
End of file - 4485 bytes

[jaro3]

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O20 - Winlogon Notify: igdlogin - igdlogin.dll (file missing)


ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

Vyčisti systém CCleanerem

Stáhni si OTC

na plochu. Poklepej na něj. Potom klikni na Clean up!.
Restartuj PC , pokud Ti bude doporučeno.


Stáhni si program OTM (by OldTimer)
a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:

Kód: Vybrat vše

:Processes
explorer.exe

:Services

:Reg

:Files
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\*.tmp
C:\WINDOWS\system32\*.tmp.dll
C:\WINDOWS\System32\dllcache\*.tmp
C:\WINDOWS\system32\SET*.tmp
C:\WINDOWS\system32\DUMP*.tmp
c:\windows\Tasks\*.job /s
C:\*.tmp
C:\WINDOWS\System32\drivers\*.tmp
C:\Program Files\*.tmp
C:\Documents and Settings\All Users\Data aplikací\*.tmp
C:\Documents and Settings\SandraD\Local Settings\Data aplikací\Google\Chrome\User Data\Default\File System\003\t\00\00000000

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.
C:\_OTMoveIt\MovedFiles\********_******.log