Prosím o kontrolu logu (vyřešeno) Vyřešeno

[cervena_karkulka]

Dobrý den,
před nedávnem jsem měl nehezký problém s rychlostí mého PC. Vcelku pomohla standartní léčba - Avast + Spyware Terminator + defragmentace + Registry Mechanic, ale pro všechny případy sem vkládám výpis z programu HijackThis. Předem bych chtěl poděkovat osobě, jež si najde čas a provede jeho kontrolu.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:59, on 9.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Registry Mechanic\RegMech.exe
C:\Program Files\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {6EE2B496-C1F4-41EC-8A5D-105DF18F6036} - (no file)
O2 - BHO: (no name) - {991EF04C-93CF-469b-A2BE-CC1B3347566F} - (no file)
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [cof.updit] kitcyyz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-776561741-1935655697-842925246-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows MS Update 32] sucker.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows MS Update 32] sucker.exe (User 'Default user')
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/in ... nstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{054F7896-4A97-4218-8162-8AE648B6DD6A}: NameServer = 160.218.10.200 160.218.43.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15320C6-6B30-4996-A975-35FD184491C7}: NameServer = 192.168.1.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{054F7896-4A97-4218-8162-8AE648B6DD6A}: NameServer = 160.218.10.200 160.218.43.200
O20 - Winlogon Notify: Applets - C:\WINDOWS\
O20 - Winlogon Notify: ssqqr - C:\WINDOWS\
O21 - SSODL: beeper - {951a98d0-dad6-4a77-8280-a494279a884b} - (no file)
O22 - SharedTaskScheduler: beeper - {951a98d0-dad6-4a77-8280-a494279a884b} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 4277 bytes


Ještě bych se chtěl optat, zda-li mám ponechat zapnutý štít od Avastu, nebo zapnout štít od Spyware Terminator - zatím se moc neorientuju v kvalitě... (Případně mám nahradit Spyware Terminator Spyware botem? Či zcela jiným?)

V poslední řadě bych se rád zeptal, zda-li mi nemůžete doporučit něco na opravu registrů. Vlastním program Registry Mechanic, ale nejde aktualizovat...

Vím, že je to moc otázek a že ne všechny patří do této sekce, omlouvám se, ale řekl jsem si, že takto to bude snad rychlejší.

Ještě jednou bych Vám chtěl poděkovat za váš čas...

[Reklama]

[Baron Prášil]

Vítej na fóru PC-HELP

v pořádku ten komp není.

fixni
v okně programu HJT zaškrtni nalevo u položek co napíšu a potom klik na Fix checked
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {6EE2B496-C1F4-41EC-8A5D-105DF18F6036} - (no file)
O2 - BHO: (no name) - {991EF04C-93CF-469b-A2BE-CC1B3347566F} - (no fil
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [cof.updit] kitcyyz.exe
O20 - Winlogon Notify: Applets - C:\WINDOWS\
O20 - Winlogon Notify: ssqqr - C:\WINDOWS\
O21 - SSODL: beeper - {951a98d0-dad6-4a77-8280-a494279a884b} - (no file)
O22 - SharedTaskScheduler: beeper - {951a98d0-dad6-4a77-8280-a494279a884b} - (no file)

potom restartuj a pošli novej log z hijackthis

avast nech běžet rezidentně,Spyterminator taky a doinstaluj firewall
vyber si tady,doporučuju ZoneAlarm nebo Comodo

na čištění(opravu) doporučuju CCleaner a RegCleaner

[Pic]

K otázkám - rezidentní štít může být spuštěn jeden u antiviru a též jeden u antispyware. Každý hlídá něco jiného. Dobré programy na čištění jsou Ccleaner a Regcleaner i další, ale pozor co dáš odstranit. Jinak si najdi návod na jeho používání. Doporučuji přečíst: http://www.pc-help.cz/viewtopic.php?t=4314

[cervena_karkulka]

Baron Prášil: Děkuji za Vaší ochotu. Udělal vše dle pokynů a znovu zasílám log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:54, on 9.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows MS Update 32] sucker.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows MS Update 32] sucker.exe (User 'Default user')
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/in ... nstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{054F7896-4A97-4218-8162-8AE648B6DD6A}: NameServer = 160.218.10.200 160.218.43.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15320C6-6B30-4996-A975-35FD184491C7}: NameServer = 192.168.1.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{054F7896-4A97-4218-8162-8AE648B6DD6A}: NameServer = 160.218.10.200 160.218.43.200
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 3607 bytes

Pic: Dobře, zapnu tedy i štít u Terminátoru. Měl jsem obavy, aby dva štíty nezatěžovaly využití procesoru. Váš příspěvek mi situaci osvětlil :)

[lipes11]

Zdar..
na to čištění registrů používám WinASO Registry optimizer.. zatím nesmazal nic co by neměl.. zkus..
L.P.

[Baron Prášil]

firewall je taky třeba.

fixni
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows MS Update 32] sucker.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows MS Update 32] sucker.exe (User 'Default user')

a potom použij Avenger http://www.spyware.cz/go.php?p=spyware&t=aplikace&id=35

a tento skript

Files to delete:
C:\WINDOWS\System32\sucker.exe
C:\WINDOWS\System32\svcchost.exe
C:\WINDOWS\System32\kitcyyz.exe

po restartu vyskočí log z Avengeru,tak ho pošli a novej log z hijackthis(ideálně už s firewallem)

[cervena_karkulka]

Fixnul jsem ty dva řádky, stáhnul Vámi zmiňovaný program, vložil script, spustil a restartoval.

Je možné, že jsem něco udělal chybně viz. výpis z programu Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oyfsfxui

*******************

Script file located at: \??\C:\WINDOWS\jcqwblli.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\sucker.exe not found!
Deletion of file C:\WINDOWS\System32\sucker.exe failed!

Could not process line:
C:\WINDOWS\System32\sucker.exe
Status: 0xc0000034



File C:\WINDOWS\System32\svcchost.exe not found!
Deletion of file C:\WINDOWS\System32\svcchost.exe failed!

Could not process line:
C:\WINDOWS\System32\svcchost.exe
Status: 0xc0000034



File C:\WINDOWS\System32\kitcyyz.exe not found!
Deletion of file C:\WINDOWS\System32\kitcyyz.exe failed!

Could not process line:
C:\WINDOWS\System32\kitcyyz.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[cervena_karkulka]

Na Vaše doporučení jsem si stáhnul firewall Comodo...

Zasílám výpis z programu HijakThis:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:15, on 10.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Win Tasks 32] wintasks32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Win Tasks 32] wintasks32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/in ... nstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{054F7896-4A97-4218-8162-8AE648B6DD6A}: NameServer = 160.218.10.200 160.218.43.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15320C6-6B30-4996-A975-35FD184491C7}: NameServer = 192.168.1.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{054F7896-4A97-4218-8162-8AE648B6DD6A}: NameServer = 160.218.10.200 160.218.43.200
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 4005 bytes

Akorát mám menší problém s vypnutím firewall, jež je součásti windows... Dám tento počítač - ovládací panely - centrum zabezpečení - brána firewall systému Windows - otevře se mi okno, kde by teoreticky mělo jít tento štít deaktivovat, žel mám tu možnost zabarvenou šedě, tedy nemůžu na ni kliknout.... jediné co můžu udělat je zaškrtnout "nepovolovat vyjímky."
Věřím, že to není nijak závažný problém, ale nemůžu si s ním poradit... (zkoušel jsem zde hledat, ale nic jsem nenašel - asi volím špatnou kombinaci slov...)

[Anonym]

O4 - HKUS\.DEFAULT\..\Run: [Win Tasks 32] wintasks32.exe (User 'Default user')
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com.....nstall.cab
počkej na radu ještě někoho ale to je také špatné ne???

[Baron Prášil]

použij COMBOFIX
Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log, který se ti zobrazí, jinak ho najdeš zde: C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

zkontroluj,jestli máš všechny aktualizace systému.

[cervena_karkulka]

Udělal jsem vše dle Vašich instrukcí. Nyní už mohu vypnout firewall ve windows, skvělé :)

log z programu combofix:

ComboFix 08-01-10.2 - moskvička 2008-01-10 18:37:59.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.67 [GMT 1:00]
Running from: C:\Documents and Settings\moskvička\Plocha\ComboFix.exe
* Created a new restore point
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.
ADS - explorer.exe: deleted 100 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Data aplikací\WinAntiVirus Pro 2006
C:\Documents and Settings\LocalService\Data aplikací\NetMon
C:\Documents and Settings\LocalService\Data aplikací\NetMon\domains.txt
C:\Documents and Settings\LocalService\Data aplikací\NetMon\log.txt
C:\Documents and Settings\moskvička\Data aplikací\searchtoolbarcorp
C:\Documents and Settings\moskvička\Data aplikací\searchtoolbarcorp\Toolbar Vision\PageHistory.txt
C:\Documents and Settings\moskvička\Data aplikací\searchtoolbarcorp\Toolbar Vision\WebHistory.txt
C:\Program Files\BHO
C:\Program Files\BHO\~bho.dat
C:\Program Files\BHO\~er.dat
C:\Program Files\BHO\bho.dat
C:\Program Files\BHO\er.dat
C:\Program Files\vsadd-in
C:\WINDOWS\gimmygames.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\atmtd.dll.tmp
C:\WINDOWS\system32\components
C:\WINDOWS\system32\config\systemprofile\Nabídka Start\Programy\ucmore - the search accelerator
C:\WINDOWS\system32\config\systemprofile\Nabídka Start\Programy\ucmore - the search accelerator\How To Uninstall.lnk
C:\WINDOWS\system32\config\systemprofile\Nabídka Start\Programy\ucmore - the search accelerator\UCmore - The Search Accelerator.lnk
C:\WINDOWS\system32\config\systemprofile\Nabídka Start\Programy\ucmore - the search accelerator\UCmore Tour.lnk
C:\WINDOWS\system32\deabadafe2_g.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\SYSTEM32\rqqss.ini
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\stera.log
C:\WINDOWS\uninstall_nmon.vbs

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CMDSERVICE
-------\LEGACY_FOPN
-------\LEGACY_NETWORK_MONITOR
-------\LEGACY_VSPF
-------\LEGACY_VSPF_HK


((((((((((((((((((((((((( Files Created from 2007-12-10 to 2008-01-10 )))))))))))))))))))))))))))))))
.

2008-01-10 18:32 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-10 12:38 . 2008-01-10 12:37 139,008 --a------ C:\WINDOWS\SYSTEM32\guard32.dll
2008-01-10 12:38 . 2008-01-10 12:37 81,272 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\cmdGuard.sys
2008-01-10 12:38 . 2008-01-10 12:37 23,672 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\cmdhlp.sys
2008-01-10 12:37 . 2008-01-10 12:37 <DIR> d-------- C:\Program Files\COMODO
2008-01-09 19:07 . 2008-01-09 20:20 <DIR> d-------- C:\Program Files\Spyware Terminator
2008-01-08 19:39 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aswTdi.sys
2008-01-08 19:39 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aavmker4.sys
2008-01-08 19:38 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aswmon2.sys
2008-01-08 19:38 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aswmon.sys
2008-01-08 19:37 . 2008-01-08 19:37 <DIR> d-------- C:\Program Files\Alwil Software
2008-01-08 14:51 . 2008-01-08 14:51 138,624 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sp_rsdrv2.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\SYSTEM32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\SYSTEM32\AVASTSS.scr
2006-01-06 15:25 266 --sh--w C:\Program Files\desktop.ini
2006-01-06 15:25 11,253 ---ha-w C:\Program Files\folder.htt
2006-09-21 23:11 753,907 --sha-w C:\WINDOWS\SYSTEM32\rqqss.bak1
2007-02-03 10:55 456,347 --sha-w C:\WINDOWS\SYSTEM32\rqqss.bak2
2007-05-04 15:21 1,076 --sh--w C:\WINDOWS\SYSTEM32\xxywu.exe
2005-07-29 15:24 472 --sha-r C:\WINDOWS\U29sYXJlbnpvIEFsYW1hbmRyYQ\oZ6PsrL5vBDSKHIPsqY1vAlVsk.vbs
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 14:49 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 15:17 159744]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-01-09 19:09 2776576]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-01-10 12:37 1481472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Win Tasks 32"="wintasks32.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-17 14:42 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmonitor]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cof.updit]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dc6_check]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DllRunning]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ErrorSafeFree]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-03 21:32 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-03 21:31 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msvcc25]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-03 21:32 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-03 21:32 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SPAMfighter Agent]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Task Manager Win32]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\was_check]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows MS Update 32]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Update]

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-01-10 12:37]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-01-10 12:37]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-01-08 14:51]
R3 NPDriver;Norton Unerase Protection Driver;C:\WINDOWS\system32\Drivers\NPDRIVER.SYS [2001-08-10 05:00]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-03 22:04]
R3 Tridkb;Tridkb;C:\WINDOWS\system32\DRIVERS\tridkbm.sys [2001-08-17 21:51]
S3 FCPCMCIA;Freecom Cable PCMCIA Driver;C:\WINDOWS\system32\Drivers\FCPCMCIA.sys [2000-05-09 14:11]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c33f090-afca-11db-8906-00000efd677e}]
\Shell\AutoRun\command - E:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af59a840-afc4-11db-8904-00000efd677e}]
\Shell\AutoRun\command - E:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9cd5820-d564-11db-892d-00000efd677e}]
\Shell\AutoRun\command - D:\start.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 18:50:52
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-10 18:57:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-10 17:56:46

[Baron Prášil]

použij Avenger

a tento skript

Files to delete:
C:\WINDOWS\SYSTEM32\rqqss.bak1
C:\WINDOWS\SYSTEM32\rqqss.bak2
C:\WINDOWS\SYSTEM32\xxywu.exe
C:\WINDOWS\U29sYXJlbnpvIEFsYW1hbmRyYQ\oZ6PsrL5vBDSKHIPsqY1vAlVsk.vbs

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msvcc25

po restartu pošli log z Avengeru a log z hijackthis