Prosím pomoooc.. Windows stávkuje (vyřešeno) Vyřešeno

[vasek.plansky]

Píšu vám z nouzového režimu, protože můj Notes odmítá spustit jakoukoli aplikaci a co víc, odmítá se i vypnout..syčák. Když v bežném režimu spouštím jakoukoli aplikaci wokna mi hodí hlášku "C:\...\.. Není platná aplikace typu win32" a program se nespustí. Když chci počítač vypnout napíše mi "K vypnutí tohoto počítače daného počítače nemáte oprávnění" (tady je zvláštní že dvakrát specifikuje ten počítač..) V nouzovém režimu sem to scanoval Avastem, Spybootem a NOD32 a nic nenašli.
Asi předevčírem sem tu dával ke kontrole svůj log a na základě doporučení uživ. Paul27 jsem provedl změny:

http://www.pc-help.cz/viewtopic.php?t=22302&highlight=

Změny v logu sem v před chvílí vrátil, ale problém trvá. Netvrdím, že problém je způsben na základě rady paula27..jen popisuju co sem v systému dělal poslední dobou.
Posílám svůj log, který je ale dělaný v tomto nouzovém režimu, takže asi neukáže ty procesy co mi to brzdí.

Prosím pomozte mi..dík

Můj log:

Logfile of HijackThis v1.99.1
Scan saved at 16:39:58, on 05/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\WINDOWS\system32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: acaptuser32.dll C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Program Files\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

[Reklama]

[Anonym]

Zkoušel si bod obnovení? Projel si PC MWAV? |Nedělal si něco s PC? Ono to začalo dělat z ničeho nic??? Jak dlouho máš XP nainstalovanej?

[paul27]

No snad neopovrhneš mojí radou. Aktualizace Javy + fixnutí zbytečností by tohle opravdu způsobit neměly. Zkoušel si MWAV? Našel něco? Kdyžtak to sem zkopíruj...jen to ze spodního okna, o nalezených hrozbách (virus log information).

No a zkus použít ComboFix:

Stáhněte a uložte na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

spusťte aplikaci pod účtem s administrátorským oprávněním - následuje licenční ujednání, stiskněte klávesu 1 pro pokračování - začne se testovat (celá akce trvá cca. 5-10 minut, někdy i trochu déle) - během skenu se nepokoušejte spouštět žádne jiné aplikace a neklikejte do okna ComboFixu - po dokončení se automaticky otevře okno poznámkového bloku s textem (pokud se tak nestane, log je v C:\ComboFix.txt), který sem pomocí známých klávesových zkratek Ctrl + A (označení celého textu) -> Ctrl + C (uložení do jakési schránky) -> Ctrl + V (vložení textu) zkopírujte - a počkejte na další postup

[vasek.plansky]

Ahoj, vžádném případě nepohrdnu dobrou radou
..projel sem to MWAVem a tohle mi našel..12 ohrožení. Nechápu, že ty ostatní programy to nenašly. Jen nevim jak je teď smazat. Jinak na PC mám Windows Home edition a přes rok mi fungovali skvěle. To co sem tu popisoval se mi stalo zničeho nic dnes odpoledne..ještě sem pustil internet a pak se to kouslo a už sem nepustil nic dalšího a po restartu nešel už ani ten net.
Zkusim ještě ten ComboFix a dám vědět jak sem dopadl.

tady je ten výpis:

Objekt "maxsearch Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "troj/bdoor-cls Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "make-deal.com malware Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "backdoor (ircbot) trojans Spyware/Adware" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Záznam odstraněn.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" odkazuje na neplatný objekt "C:\WINDOWS\system32\LegitCheckControl.DLL". Provedené akce: Záznam odstraněn.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "C:\Program Files\Adobe\Acrobat 5.0 CE\Acrobat\Acrobat.exe". Provedené akce: Záznam odstraněn.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt ""C:\Program Files\Java\jre1.5.0_10\bin\javaws.exe"". Provedené akce: Záznam odstraněn.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "". Provedené akce: Záznam odstraněn.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".pf". Provedené akce: Záznam odstraněn.

[vasek.plansky]

Aha tak on tu havěť sám smaže..))

[memphisto]

neměl jsi náhodou v síti nasdílený disk s windows?myslím jako složku program files atd.? přesně tohle se mi stalo,když jsem ten disk nasdílel a pak jsme špatně ukončili připojení k síti a já dal celý disk opět jako nesdílený

[paul27]

Nj, koukám, že je opět uvolněná mazací verze MWAvu, jednou za čas to tak je. Ani jsem to nevěděl. Jinak to co našel nebylo nic nebezpečnýho, jen zbytky po již vyléčených infekcích a neplatné záznamy z registru.

Pošli pak Comboix, ale myslím, že tam nic nebude. Zkus se podívat na t, co psal memphisto, třeba pomůže.

[vasek.plansky]

Zdravim všechny, bohužel ani po projetí MWAVem se můj problém nevyřešil.
Notes používám jen doma, takže místní sítě ani sdílení adresářů, nebo disků vůbec nevyužívám.
Myslíte, že by pomohla reinstalace Windows?..Tohle má jeden háček NB sem koupil s Home edition OEM, takže od toho nemám žádný instalační cédo. Myslíte, že jde nejak vyrovit.
Na závěr posílám svůj log z Combofix.

Díky

ComboFix 08-01-04.1 - Administrator 2008-01-06 10:25:25.2 - FAT32x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1029.18.787 [GMT 1:00]
Running from: C:\Program Files\Combofix\ComboFix.exe
.

((((((((((((((((((((((((( Files Created from 2007-12-06 to 2008-01-06 )))))))))))))))))))))))))))))))
.

2008-01-06 10:25 . 2008-01-06 10:25 0 --a------ C:\WINDOWS\nsreg.dat
2008-01-06 00:45 . 2008-01-06 00:45 <DIR> d-------- C:\Program Files\Combofix
2008-01-06 00:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 00:22 . 2008-01-06 00:23 5,959,487 --a------ C:\WINDOWS\REGBK00.ZIP
2008-01-06 00:21 . 2008-01-06 00:21 <DIR> d-------- C:\Program Files\MWAV
2008-01-06 00:18 . 2008-01-06 00:39 50 --a------ C:\23990098.$$$
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-06 00:13 . 2008-01-06 00:22 26 --a------ C:\WINDOWS\Lic.xxx
2008-01-06 00:12 . 2004-08-18 20:00 147,968 --a------ C:\WINDOWS\R.COM
2008-01-06 00:12 . 2004-08-18 20:00 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-01-02 13:19 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-02 13:18 . 2008-01-02 13:18 <DIR> d-------- C:\Program Files\Java
2008-01-02 13:18 . 2008-01-02 13:18 <DIR> d-------- C:\Program Files\Common Files\Java
2007-12-26 10:31 . 2007-12-26 10:31 <DIR> d-------- C:\Program Files\Opera
2007-12-25 11:36 . 2007-12-25 11:37 <DIR> d-------- C:\Program Files\Autodesk
2007-12-18 18:31 . 2007-12-18 18:31 82 --a------ C:\WINDOWS\netdet.ini
2007-12-18 18:30 . 2007-12-18 18:30 <DIR> d-------- C:\Program Files\GeoPol 2005

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-23 18:13 79,096 ----a-w C:\WINDOWS\system32\drivers\cmdGuard.sys
2007-11-23 18:13 23,672 ----a-w C:\WINDOWS\system32\drivers\cmdhlp.sys
2007-11-23 18:13 139,008 ----a-w C:\WINDOWS\system32\guard32.dll
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-30 23:27 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:44 1,290,240 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:44 1,290,240 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:44 8,464,384 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-10 23:50 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-10 23:50 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-10 23:50 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-10-10 23:50 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-10 23:50 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-10-10 23:50 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-10 23:50 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-10-10 23:50 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-10-10 23:50 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-10-10 23:50 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-10 23:50 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-10 23:50 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-10 23:50 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-10-10 23:50 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-10-10 23:50 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-10 23:50 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-10 23:50 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-10-10 23:50 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-10 23:50 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-10-10 23:50 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-10-10 23:50 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-10-10 23:50 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-10-10 10:58 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-10-10 10:58 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2006-12-07 19:06 29,679 ----a-w C:\WINDOWS\Fonts\aardvarkcafe.zip
.

((((((((((((((((((((((((((((( snapshot@2008-01-06_ 0.42.56,95 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 20:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-18 20:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-02-05 16:52 921600]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52 483328]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 20:00 15360]

C:\Documents and Settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Akceler tor spuçtŘnˇ AutoCADu.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart17.exe [2006-03-05 14:43:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=acaptuser32.dll C:\WINDOWS\system32\guard32.dll

R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 20:00]
S1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2007-11-23 19:13]
S1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2007-11-23 19:13]
S1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]
S2 DK12DRV;DK12 WindowsNT Driver;C:\WINDOWS\system32\Drivers\DK12DRV.SYS [2001-02-13 15:57]
S2 DK3DRV;DK3 Windows NT Driver;C:\WINDOWS\system32\Drivers\DK3DRV.SYS [2002-08-05 10:04]
S2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10]
S2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-04-07 18:08]
S2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
S2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
S2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
S3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 19:54]
S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2001-12-12 10:37]
S3 commiwi;[CommView] Intel(R) PRO/Wireless 2200BG Network Connection Driver for Windows 2000;C:\WINDOWS\system32\DRIVERS\commiwi.sys [2006-10-04 16:11]
S3 DK3USB;DK3usb Enabler;C:\WINDOWS\system32\Drivers\DK3USB.sys [2002-08-05 10:04]
S3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]

.
Contents of the 'Scheduled Tasks' folder
"2008-01-03 08:00:02 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Program Files\Spybot - Search & Destroy\Update.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 10:27:13
Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-06 10:27:34
ComboFix-quarantined-files.txt 2008-01-06 09:27:34
ComboFix2.txt 2008-01-05 23:43:12
.
2007-12-12 13:52:41 --- E O F ---

[paul27]

Tohle nehc prosím otestovat na http://www.virustotal.com :
C:\WINDOWS\Fonts\aardvarkcafe.zip
C:\WINDOWS\system32\DRIVERS\commiwi.sys
C:\WINDOWS\system32\Drivers\DK3USB.sys
C:\WINDOWS\netdet.ini

+ přesuňte Combofix na plochu (pokud ho tam ještě nemáte) - otevřete si poznámkový blok - do něj zkopírujte text z nasledujícího okna:

File::
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM

text uložte jako CFScript.txt na plochu - po uložení uchopte vámi vytvořený soubor .txt levým tlačítkem myši a přesuňte jej nad ikonu ComboFixu - nad ikonou ComboFixu soubor .txt upusťte - po provedení akce se opět zobrazí okno poznámkového bloku s textem, který sem zkopírujte

[vasek.plansky]

Ahoj Posílám poslední log po provedení postupu v druhé části tvého příspěvku. Testoval sem taky všechny ty podezřelé soubory na VirusTotal, ale nic tam nenašel.
Tenhle víkend sem se stěhoval, takže mám větší prodlevy při odpovídání.

Díky

P.S.: Co si myslíš o té variantě s přeinstalovánim Windows..

Log:

ComboFix 08-01-04.1 - Administrator 2008-01-06 21:46:09.3 - FAT32x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1029.18.737 [GMT 1:00]
Running from: C:\Program Files\Combofix\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrator\Plocha\CFScript.txt
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((( Files Created from 2007-12-06 to 2008-01-06 )))))))))))))))))))))))))))))))
.

2008-01-06 11:35 . 2008-01-06 11:45 6 --a------ C:\ISACER.ID
2008-01-06 10:25 . 2008-01-06 10:25 0 --a------ C:\WINDOWS\nsreg.dat
2008-01-06 00:45 . 2008-01-06 00:45 <DIR> d-------- C:\Program Files\Combofix
2008-01-06 00:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 00:22 . 2008-01-06 00:23 5,959,487 --a------ C:\WINDOWS\REGBK00.ZIP
2008-01-06 00:21 . 2008-01-06 00:21 <DIR> d-------- C:\Program Files\MWAV
2008-01-06 00:18 . 2008-01-06 11:23 50 --a------ C:\23990098.$$$
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-06 00:16 . 2008-01-06 00:16 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-06 00:13 . 2008-01-06 10:46 26 --a------ C:\WINDOWS\Lic.xxx
2008-01-06 00:12 . 2004-08-18 20:00 147,968 --a------ C:\WINDOWS\R.COM
2008-01-06 00:12 . 2004-08-18 20:00 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-01-02 13:19 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-02 13:18 . 2008-01-02 13:18 <DIR> d-------- C:\Program Files\Java
2008-01-02 13:18 . 2008-01-02 13:18 <DIR> d-------- C:\Program Files\Common Files\Java
2007-12-26 10:31 . 2007-12-26 10:31 <DIR> d-------- C:\Program Files\Opera
2007-12-25 11:36 . 2007-12-25 11:37 <DIR> d-------- C:\Program Files\Autodesk
2007-12-18 18:31 . 2007-12-18 18:31 82 --a------ C:\WINDOWS\netdet.ini
2007-12-18 18:30 . 2007-12-18 18:30 <DIR> d-------- C:\Program Files\GeoPol 2005

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-23 18:13 79,096 ----a-w C:\WINDOWS\system32\drivers\cmdGuard.sys
2007-11-23 18:13 23,672 ----a-w C:\WINDOWS\system32\drivers\cmdhlp.sys
2007-11-23 18:13 139,008 ----a-w C:\WINDOWS\system32\guard32.dll
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-30 23:27 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:44 1,290,240 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:44 1,290,240 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:44 8,464,384 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-10 23:50 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-10 23:50 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-10 23:50 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-10-10 23:50 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-10 23:50 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-10-10 23:50 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-10 23:50 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-10-10 23:50 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-10-10 23:50 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-10-10 23:50 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-10 23:50 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-10 23:50 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-10 23:50 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-10-10 23:50 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-10-10 23:50 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-10 23:50 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-10 23:50 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-10-10 23:50 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-10 23:50 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-10-10 23:50 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-10-10 23:50 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-10-10 23:50 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-10-10 10:58 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-10-10 10:58 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2006-12-07 19:06 29,679 ----a-w C:\WINDOWS\Fonts\aardvarkcafe.zip
.

((((((((((((((((((((((((((((( snapshot@2008-01-06_ 0.42.56,95 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 20:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-18 20:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-02-05 16:52 921600]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52 483328]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 20:00 15360]

C:\Documents and Settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Akceler tor spuçtŘnˇ AutoCADu.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart17.exe [2006-03-05 14:43:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=acaptuser32.dll C:\WINDOWS\system32\guard32.dll

R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 20:00]
S1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2007-11-23 19:13]
S1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2007-11-23 19:13]
S1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]
S2 DK12DRV;DK12 WindowsNT Driver;C:\WINDOWS\system32\Drivers\DK12DRV.SYS [2001-02-13 15:57]
S2 DK3DRV;DK3 Windows NT Driver;C:\WINDOWS\system32\Drivers\DK3DRV.SYS [2002-08-05 10:04]
S2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10]
S2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-04-07 18:08]
S2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
S2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
S2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
S3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 19:54]
S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2001-12-12 10:37]
S3 commiwi;[CommView] Intel(R) PRO/Wireless 2200BG Network Connection Driver for Windows 2000;C:\WINDOWS\system32\DRIVERS\commiwi.sys [2006-10-04 16:11]
S3 DK3USB;DK3usb Enabler;C:\WINDOWS\system32\Drivers\DK3USB.sys [2002-08-05 10:04]
S3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]

.
Contents of the 'Scheduled Tasks' folder
"2008-01-03 08:00:02 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Program Files\Spybot - Search & Destroy\Update.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 21:48:02
Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-06 21:48:23
ComboFix-quarantined-files.txt 2008-01-06 20:48:22
ComboFix3.txt 2008-01-05 23:43:12
ComboFix2.txt 2008-01-06 09:27:36
.
2007-12-12 13:52:41 --- E O F ---

[paul27]

No ty soubory tam pořád jsou, opravdu si to udělal podle návodu?

Kdyžtak to zkus Avengerem. Spustíš ho - zatrhni imput script manually - klik na lupu - do prázdného okna nakopírovat tento tučný text:

Files to delete:
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM

- klik na done - klik na semafor - potvrdit varování - pc se restartuje - po restartu vyleze log, který sem zkopíruj. Napiš, jak se chová počítač. Jinak přeinstalování Windows až jako poslední možnou variantu, aspoň já se k tomu tak stavim. A kdyby si se pro přeinstal rozhodnul, tak disk naformátuj v NTFS, FAT32 moc výhod už nemá.

[Pic]

Dotaz - kde jsi stáhl program Mwav.exe a kdy? Ptám se proto, že dostupná je jen verze bez odstraňování zjištěných problémů. Děkuji!