Moc prosím o kontrolu logu Vyřešeno

[fredik]

Jestli by jsi mohl pro mě něco udělat než se pustíš do odstraňovaní.
Stáhni si a spusť avast! antirootkit
- klikni na tlačítko Scan Now! a počkej až kontrola proběhne.
- pokud něco najde tak to hlavně neodstraňuj
- po skončení konrtoly klikni na View scan log a zobrazí se ti log
- ulož ho a vlož sem jeho obsah a program zavři.
Dík.

****************************************************************************************************************************************

Podívej se do adresáře C:\WINDOWS\system32\ jestli tam máš soubor swreg.exe, pokud by tam nebyl tak si ho stáhni zde. Pokud tam nebude tak ho zatím do uvedeného adresáře nahoře nekopíruj, jen si ho ulož na disk. Dej pak vědět jestli tam byl.

****************************************************************************************************************************************

Použij znovu Avenger stejným postupem, ale tentokrát tam vlož tento skript
Files to delete:
C:\WINDOWS\system32\ctlaicmbc.sys
C:\WINDOWS\system32\vgabglcoa.sys
C:\WINDOWS\system32\vgaikqcmj.nls
C:\WINDOWS\TEMP\iasjdbmte.dll
C:\WINDOWS\TEMP\msimmgse.nls
C:\WINDOWS\TEMP\vgaikqcmj.nls
C:\WINDOWS\TEMP\ieanfcnrn.nls

Registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{5CF28935-8BA2-D939-F769-92E99DB34A55}
HKLM\software\microsoft\shared tools\msconfig\startupreg\Trickler

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | lqrkngqj
HKLM\software\microsoft\windows\currentversion\policies\explorer\run | mshgm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | taskman
Pak sem vlož z něho log.

****************************************************************************************************************************************

Po najetí zpět do Win. spusť znovu System Repair Engineer (Sreng) a nech upravit asociace stejným způsobem jako před tím.
Pokud by nešel spustit tak přejmenuj soubor SREngPS.exe na SREngPS.com a spusť ho a proveď opravu.

Pak spusť znovu DAFT a vlož sem z něho log.

****************************************************************************************************************************************
Vlož sem pak log z:
- Avast! Antirootkit
- Avengeru
- DAFT
- nový log z GMER
- ComboFix

[Reklama]

[štefy]

avast! Antirootkit, version 0.9.6
Scan started: 30. březen 2008 18:27:53

Registry item [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System] OODEFRAG08.00.00.01WORKSTATION="1ADEB5A964304E5981E8A04DC4C893228561CE91D3AACA43BA2AB5395EBBE47AC14DE87ED8B36E8158D20A405842A545B2B18AC251B7672CA842B7FC3452666C30D02275CC09B2722EB04835757191D810EC98411FB0A86E3500C4AC248073C7FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A6171C11EC38DE3DA6A0AC4980AC7933A2D97226D213B555D4A6E7A2D71B2083281AF328A123F1F695FEC80F6306BEECE9E82C0E680AB6C4474659C2582F6F7788A0D6C18EB1DEAF88E31430B81923F3A234DA75525D975597E00F7BE51A45BDB95" **HIDDEN**
Registry item [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D55C3C11-C38F-42A9-B461-1791DCA47211}] **HIDDEN**
Registry item [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D55C3C11-C38F-42A9-B461-1791DCA47211}] abnplkamdncnpgklkkehbhcmbkjajlmacd=(binary value) **HIDDEN**
Registry item [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D55C3C11-C38F-42A9-B461-1791DCA47211}] bbnplkamdncnpgklkkdhclafidkgmfeimgee=(binary value) **HIDDEN**

Scan finished: 30. březen 2008 18:29:31
Hidden files found: 0
Hidden registry items found: 5
Hidden processes found: 0
Hidden services found: 0
Hidden boot sectors found: 0


----------

[štefy]

Použil sem Avenger a po restartu compu to hodilo hlasku s chybou (jinou nez posledne) a poznamkovy blok se objevil prazdny. Pomohl jen restart(natvrdo) a log z avengeru ma nekecam 2.73GB. Mam pokracovat dal bez logu z Avengeru?
Jo a soubor swreg.exe mam

[fredik]

Pokračuj dál. Nezobrazí se ti ani log když ho otevřeš přes Avenger? Co přesně ti vyhodilo za hlášku, jestli si to pamatuješ? Příště si když tak poznač co ti to psalo.

[štefy]

Nezobrazi pac ten textacek ma 2.73GB a rekne ze nelze otevrit prilis velky pouzijte jiny editor

[štefy]

DAFT Log saved on 2008-03-30 20:16:00
-----------------------------------------------------------------------
.exe - exefile - shell\open\command - rundll32.exe "C:\WINDOWS\TEMP\tapin.sys" WLEntry %1 %*

[štefy]

Novy log z Gmeru

[štefy]

ComboFix 08-03-25.1 - uživatel 2008-03-30 20:25:26.6 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.91 [GMT 2:00]
Running from: C:\Documents and Settings\uživatel\Plocha\ComboFix.exe
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-02-28 to 2008-03-30 )))))))))))))))))))))))))))))))
.

2008-03-30 18:37 . 2004-08-17 15:49 114,688 --a------ C:\WINDOWS\system32\tapin.sys
2008-03-30 18:34 . 2008-03-30 18:34 23,898 --a------ C:\5.reg
2008-03-30 18:34 . 2008-03-30 18:34 2,282 --a------ C:\3.reg
2008-03-30 18:34 . 2008-03-30 18:34 656 --a------ C:\2.reg
2008-03-30 18:34 . 2008-03-30 18:34 414 --a------ C:\4.reg
2008-03-30 18:27 . 2008-03-30 18:27 864,120 --a------ C:\aswar.exe
2008-03-29 19:24 . 2008-03-30 20:17 250 --a------ C:\WINDOWS\gmer.ini
2008-03-29 18:23 . 2008-03-29 18:24 <DIR> d-------- C:\Sereng2
2008-03-25 19:43 . 2008-03-30 18:34 19,424 --a------ C:\backup.tmp
2008-03-25 19:43 . 2008-03-30 18:33 687 --a------ C:\avexport.bat
2008-03-25 19:43 . 2008-03-30 18:34 254 --a------ C:\1.reg
2008-03-25 19:37 . 2008-03-25 19:37 97,104,910 --a------ C:\zalreg.reg
2008-03-24 21:35 . 2008-03-24 21:35 <DIR> d-------- C:\Deckard
2008-03-24 13:19 . 2008-03-24 13:19 204 --a------ C:\vypt.bat
2008-03-23 14:21 . 2008-03-23 14:22 <DIR> d-------- C:\Program Files\SopCast
2008-03-23 12:11 . 2008-03-23 12:14 <DIR> d-------- C:\reg
2008-03-22 12:36 . 2008-03-22 12:36 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-22 12:36 . 2008-03-22 12:36 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\Kaspersky Lab
2008-03-21 12:21 . 2008-02-22 03:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-21 12:20 . 2008-03-21 12:21 <DIR> d-------- C:\Program Files\Java
2008-03-21 12:20 . 2008-03-21 12:20 <DIR> d-------- C:\Program Files\Common Files\Java
2008-03-19 20:45 . 2005-03-02 20:18 577,024 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-03-19 20:43 . 2008-03-19 20:44 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-19 18:40 . 2008-03-19 18:40 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\ESET
2008-03-19 18:10 . 2008-03-19 18:10 <DIR> d-------- C:\Program Files\ESET
2008-03-16 19:42 . 2008-03-16 19:42 <DIR> d-------- C:\Program Files\CCleaner
2008-03-15 14:07 . 2008-03-15 14:07 <DIR> d-------- C:\Documents and Settings\uživatel\Data aplikací\Roxio
2008-03-15 14:06 . 2008-03-15 14:06 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\Sonic
2008-03-15 14:04 . 2008-03-15 14:04 <DIR> d-------- C:\Program Files\DivX
2008-03-15 14:04 . 2008-03-16 17:50 <DIR> d-------- C:\Program Files\Common Files\Roxio Shared
2008-03-15 14:04 . 2008-03-16 17:49 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\Roxio
2008-03-03 20:48 . 2008-03-03 20:48 <DIR> d-------- C:\Documents and Settings\uži\Bullfrog
2008-03-01 10:59 . 2006-05-23 10:25 4,290,048 --a------ C:\WINDOWS\Heroes of Might and Magic V.scr
2008-02-23 18:51 . 2008-02-24 10:28 <DIR> d-------- C:\Documents and Settings\uživatel\Data aplikací\DMCache
2008-02-23 12:46 . 2008-03-19 18:36 <DIR> d-------- C:\Program Files\Ad-Aware 2007
2008-02-23 12:46 . 2008-02-23 12:48 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\Lavasoft
2008-02-23 12:45 . 2008-02-23 12:45 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-02-22 18:29 . 2008-02-22 18:29 8,192 --ahs---- C:\WINDOWS\Thumbs.db
2008-02-22 16:40 . 2008-02-23 00:46 <DIR> d-------- C:\Program Files\SUPER
2008-02-22 16:40 . 2008-02-04 21:26 151,040 ---hs---- C:\WINDOWS\system32\VistaUltm.dll
2008-02-22 16:40 . 2005-02-22 18:55 81,920 -r-hs---- C:\WINDOWS\system32\aac_parser.ax
2008-02-22 16:40 . 2007-02-21 13:47 31,232 -r-hs---- C:\WINDOWS\system32\msfDX.dll
2008-02-22 16:40 . 2007-12-17 15:43 27,648 ---hs---- C:\WINDOWS\system32\Smab0.dll
2008-02-22 16:24 . 2008-03-30 12:49 <DIR> d-------- C:\Program Files\Torrents
2008-02-21 19:17 . 2008-02-22 23:20 <DIR> d-------- C:\Program Files\TVUPlayer
2008-02-21 19:12 . 2008-02-21 19:12 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\TVU networks
2008-02-21 19:00 . 2008-02-21 19:00 <DIR> d-------- C:\Documents and Settings\uživatel\Data aplikací\TVU Networks
2008-02-21 18:01 . 2008-02-21 18:01 <DIR> d-------- C:\Documents and Settings\uživatel\Data aplikací\ppStream
2008-02-21 18:01 . 2008-02-23 13:26 569 --a------ C:\WINDOWS\psnetwork.ini
2008-02-21 18:01 . 2008-02-23 13:23 35 --a------ C:\WINDOWS\powerplayer.ini
2008-02-21 17:59 . 2008-02-21 17:59 57 --a------ C:\WINDOWS\system32\peer.ini
2008-02-21 17:49 . 2008-02-21 17:49 <DIR> d-------- C:\Documents and Settings\uživatel\Data aplikací\PPMate
2008-02-21 17:48 . 2008-02-23 13:21 <DIR> d-------- C:\Program Files\PPMate
2008-02-21 17:48 . 2008-02-21 17:48 <DIR> d-------- C:\Program Files\Common Files\Synacast
2008-02-20 12:11 . 2008-02-20 12:11 33,800 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2008-02-20 12:02 . 2008-02-20 12:02 29,704 --a------ C:\WINDOWS\system32\drivers\easdrv.sys
2008-02-20 12:01 . 2008-02-20 12:01 39,944 --a------ C:\WINDOWS\system32\drivers\eamon.sys
2008-02-09 18:21 . 2008-03-03 18:02 <DIR> d-------- C:\Program Files\PeerGuardian2
2008-02-04 14:57 . 2008-02-04 14:57 <DIR> d-------- C:\WINDOWS\vbSkinner
2008-02-02 10:10 . 2008-02-18 20:13 <DIR> d-------- C:\Program Files\Gamenext

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-30 13:31 --------- d-----w C:\Documents and Settings\uživatel\Data aplikací\uTorrent
2008-03-28 17:38 --------- d---a-w C:\Documents and Settings\All Users\Data aplikací\TEMP
2008-03-21 10:14 --------- d-----w C:\Program Files\Common Files\InterVideo
2008-03-16 15:52 --------- d-----w C:\Program Files\Your Uninstaller 2008
2008-03-06 18:48 --------- d-----w C:\Program Files\Winamp
2008-02-18 18:21 --------- d-----w C:\Program Files\Common Files\InstallerA
2008-02-16 18:46 --------- d---a-w C:\Program Files\Miranda IM
2008-01-31 06:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-23 17:43 298,104 ----a-w C:\WINDOWS\system32\imon.dll
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-04-30 15:25 81,920 ----a-w C:\Documents and Settings\uživatel\Data aplikací\ezpinst.exe
2007-04-30 15:25 47,360 ----a-w C:\Documents and Settings\uživatel\Data aplikací\pcouffin.sys
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-01-20 11:29 945 --sha-w C:\WINDOWS\system32\mmf.sys
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2005-03-14 03:17 359936 6129e70f3d2f1e60860c930ebeaf92c2 C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys
2001-10-25 14:00 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\TCPIP.SYS
2005-03-14 02:55 359808 0e66b538096a6529d1ac66e78eb0d5c8 C:\WINDOWS\SoftwareDistribution\Download\465d74f489a08daa339a96fd1eedeb4e\sp2gdr\tcpip.sys
2005-03-14 03:17 359936 6129e70f3d2f1e60860c930ebeaf92c2 C:\WINDOWS\SoftwareDistribution\Download\465d74f489a08daa339a96fd1eedeb4e\sp2qfe\tcpip.sys
2008-01-24 16:21 359808 f91e8f4c501f2128d7a92f723b6d6577 C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-01-24 16:21 359808 f91e8f4c501f2128d7a92f723b6d6577 C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((( snapshot@2008-03-25_18.59.34,76 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-29 17:24:31 819,200 ----a-w C:\WINDOWS\gmer.dll
+ 2008-03-03 19:29:06 761,856 ----a-w C:\WINDOWS\gmer.exe
- 2000-08-31 07:00:00 28,160 ----a-w C:\WINDOWS\Nircmd.exe
+ 2000-08-31 06:00:00 28,160 ----a-w C:\WINDOWS\Nircmd.exe
+ 2008-03-29 17:24:31 86,097 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
+ 2004-08-17 13:49:24 114,688 ----a-w C:\WINDOWS\system32\msxmlg.drv
- 2007-10-28 18:17:44 69,836 ----a-w C:\WINDOWS\system32\perfc005.dat
+ 2008-03-30 13:06:32 69,836 ----a-w C:\WINDOWS\system32\perfc005.dat
- 2007-10-28 18:17:44 59,498 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-03-30 13:06:32 59,498 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-10-28 18:17:44 393,414 ----a-w C:\WINDOWS\system32\perfh005.dat
+ 2008-03-30 13:06:32 393,414 ----a-w C:\WINDOWS\system32\perfh005.dat
- 2007-10-28 18:17:44 395,640 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-03-30 13:06:32 395,640 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2004-08-17 13:49:24 114,688 ----a-w C:\WINDOWS\system32\rasbfacgn.dll
- 2000-08-31 07:00:00 161,792 ----a-w C:\WINDOWS\system32\swreg.exe
+ 2000-08-31 06:00:00 161,792 ----a-w C:\WINDOWS\system32\swreg.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 15:49 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.exe" [2002-01-28 14:48 885760]
"ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-03-20 17:34 213936]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2006-03-20 17:34 86960]
"ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 17:34 213936]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 12:06 1443072]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"tbptikkc"="C:\WINDOWS\TEMP\vgaomgki.drv WLEntryPoint" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"mshgm"= rundll32.exe "C:\WINDOWS\system32\rasbfacgn.dll" WLEntryPoint

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)
"MemCheckBoxInRunDlg"= 0 (0x0)
"NoAutoTrayNotify"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\PROGRA~1\WindowBlinds\wbsrv.dll 2005-12-20 22:57 176128 C:\PROGRA~1\WindowBlinds\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^GPRSpeed Plus Client.lnk]
path=C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění\GPRSpeed Plus Client.lnk
backup=C:\WINDOWS\pss\GPRSpeed Plus Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^uživatel^Nabídka Start^Programy^Po spuštění^RollerCoaster Tycoon 3 Registration.lnk]
path=C:\Documents and Settings\uživatel\Nabídka Start\Programy\Po spuštění\RollerCoaster Tycoon 3 Registration.lnk
backup=C:\WINDOWS\pss\RollerCoaster Tycoon 3 Registration.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^uživatel^Nabídka Start^Programy^Po spuštění^Ubisoft register.lnk]
path=C:\Documents and Settings\uživatel\Nabídka Start\Programy\Po spuštění\Ubisoft register.lnk
backup=C:\WINDOWS\pss\Ubisoft register.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
C:\Program Files\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]
C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-17 15:49 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-04 00:29 165784 C:\Program Files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreeRAM XP]
--a------ 2006-03-23 00:13 1591808 C:\Program Files\FreeRAM XP Pro\FreeRAM XP Pro.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Program Files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
--a------ 2004-01-28 23:42 565248 C:\WINDOWS\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-09-16 14:39 69632 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trickler]
c:\program files\divx\divx pro codec\gain_trickler_3202.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NOD32krn"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Program Files\\InterVideo\\DVD8\\WinDVD.exe"=
"C:\\Program Files\\FirefoxPortable\\FirefoxPortable.exe"=
"C:\\Program Files\\Miranda IM\\miranda32.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Hry\\Worms Armageddon\\wa.exe"=
"C:\\Program Files\\PPMate\\ppmate.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\PPMate\\ppamnet.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\SopCast\\sopvod.exe"=
"C:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"44724:TCP"= 44724:TCP:pan port
"28828:TCP"= 28828:TCP:@xpsp2res.dll,-22004
"62667:TCP"= 62667:TCP:@xpsp2res.dll,-22004
"41582:TCP"= 41582:TCP:@xpsp2res.dll,-22004
"48469:TCP"= 48469:TCP:@xpsp2res.dll,-22004
"5307:TCP"= 5307:TCP:@xpsp2res.dll,-22004

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-02-20 12:11]
R2 LicCtrlService;LicCtrl Service;rundll32.exe C:\WINDOWS\mmfs.dll,Service []
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-03 23:04]
R3 usbhub;Ovladač standardního rozbočovače USB;C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 23:08]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);C:\WINDOWS\system32\DRIVERS\adusbmdm65.sys [2005-05-02 13:55]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);C:\WINDOWS\system32\DRIVERS\adusbser65.sys [2005-05-02 13:55]
S3 aswArKrn;aswArKrn;C:\DOCUME~1\UIVATE~1\LOCALS~1\Temp\aswArKrn.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []
S3 usb2vcom;USB Data Cable;C:\WINDOWS\system32\DRIVERS\usb2vcom.sys [2005-08-06 05:06]
S3 usbccgp;Obecný nadřazený ovladač Microsoft USB;C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 23:08]
S3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f72c2d0d-4fbc-11db-8aa0-0011098da354}]
\Shell\AutoRun\command - H:\autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 20:27:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-03-30 20:28:13
ComboFix-quarantined-files.txt 2008-03-30 18:28:10
ComboFix2.txt 2008-03-29 17:33:04
ComboFix3.txt 2008-03-25 17:59:44
ComboFix4.txt 2008-03-22 10:32:21

[fredik]

Dodrž pořadí jak bude napsáno:
- je to krapet delší, tak si případně ulož celý postup. Bylo by dobré, během postupu být odpojený od internetu, po té co si stáhneš programy a nachystáš vše potřebné (od Kroku 7).
- nejdříve si to pročti pozorně a pokud by něco z toho nebylo jasné tak se zeptej než se do toho pustíš.
- pokud by po některém z kroku nešel spustit .exe soubory tak udělej krok 10 a pak pokračuj kde kde jsi skončil.

#Krok1:
Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře:
ComboFix /u a dej Ok

Spusť už dřív stažený T-cleaner (postupuj podle instrukcí o kterých tě bude informovat) a nech ho proběhnout.

#Krok2:
Smaž na disku, pokud tam budou tyto soubory:
C:\5.reg
C:\3.reg
C:\2.reg
C:\4.reg
C:\backup.tmp
C:\avexport.bat
C:\1.reg

#Krok3:
Stáhni si znovu tyto programy, pokud tam nebudou:

- odkazy na jednotlivé programy už tu byly uvedeny
GMER - ulož si ho přímo na disk C
Avenger
Deckard's System Scanner (DSS) - ulož si ho na plochu
System Repair Engineer (SREng)
swreg.exe
Deckard's Association File Tool (DAFT)
AVPTool - AVPTool si stáhni až před instalací.

#Krok4:
Vytvoř si na disku C nový adresář/složku a pojmenuj ho jako: abc (C:\abc)
- rozbal do něj SREng
- zkopíruj tam i soubor daft.exe, který sis stáhl
* přejmenuj v tomto adresáři tyto soubory:
SREngPS.exe na SREngPS.com
a
daft.exe na daft.com

#Krok5:
Zkopíruj si stažený soubor swreg.exe do těchto lokací:
- kořenový adresář systémového disku C:\
- do adresáře/složky: C:\WINDOWS\system32\

#Krok6:
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE (nefunguje korektně pod FireFox)

Kód: Vybrat vše

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tbptikkc"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"mshgm"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"taskman"=-

Pak dej Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fix.reg
Uložit jako typ: tak tam vyber Všechny soubory
Ulož si daný soubor na plochu
Na ploše by se měl objevit soubor fix.reg

#Krok7:
- nainstaluj si už stažený AVPTool a nastav si ho podle návodu (adresář instalace nech jak je nastavený přímo programem)
- pak s ním nech zkontrolovat disk a po jeho proběhnutí sem vlož jeho log

#Krok8:
Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře:
command
- otevře se ti okno a tam napiš postupně tyto příkazy zvýrazněné modře:
cd\ (dej <enter>)
swreg null delete HKLM\SOFTWARE\Classes\CLSID\{5CF28935-8BA2-D939-F769-92E99DB34A55} (dej <enter>)
swreg null delete HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D55C3C11-C38F-42A9-B461-1791DCA47211} (dej <enter>)
exit (dej <enter>)
-dej pozor ať opíšeš přesně syntaxi tak jak je napsaná
- mezi Shell a Extensionsje mezera a patří to celé na jeden řádek za sebe, ne jak se to zobrazuje na dvou.

#Krok9:
Spusť soubor Fix.reg, vyskočí hláška kde odklikni Ano poté je další hláška kde odklikni OK

#Krok10:
*případně pokračuj v tomto bodě v okně command*
- jdi do adresáře/složky abc
- Spusť program (SREngPS.com), zvol System Repair
- Na záložce File Associations zatrhni čtvereček před položkou .EXE (měl by být zatrhnutý/vybraný) a pak klikni dole na tlačítko Repair
- Po té spusť znovu DAFT.com a dej Scan
- pokud by vypsal nějakou chybnou asociaci tak před nimi zatrhni ty čtverečky klikni na tlačítko Fix
Pak znovu spusť Scan a po jeho proběhnutí klikni na tlačítko Save Log, ulož si log a dej sem jeho obsah.

#Krok11:
Spusť znovu GMER a dej sem z něho log.

#Krok12:
Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře "%userprofile%\plocha\dss.exe" /config
- Otevře se ti okno kde v sekci Main Log zruš všechny zatržené položky a nech zatržené/zatrhni jen tyto dvě (ostatní části nech jak jsou viz. obr.):

File Associations
Drivers
Services
Files Created/Modified
Registry Dump

- Pak dole klikni na tlačítko Scan!
Za chvíli se ti objeví log main.txt tak sem vlož jeho obsah (jinak ho najdeš zde: C:\Deckard\System Scanner\main.txt)

******************************************************************************************************************************************

V následujícím příspěvku sem vlož tyto logy/výsledky:
- log z AVPTool
- log z DAFT
- log z GMER
- log z DSS

[štefy]

U kroku3 si mam ty programy stahnout znova nebo ne kdyz uz je mam nainstalovany?

[fredik]

Programy co tam máš nemusíš stahovat znovu, ale po použití T-cleaneru např. DSS na ploše nemáš, soubor swreg.exe nemáš v adresáři (C:\WINDOWS\system32\) atd. Takže programy co odstranil a nemáš je tak si je znovu stáhni. Co ti tam zůstalo tak nemusíš. Pak si rozbal/nahraj jednotlivé programy tam kam bylo napsáno + dopsal jsem ti alternativu pro bod 10 tak se na to mrkni.

[štefy]

DAFT Log saved on 2008-04-04 18:06:07
-----------------------------------------------------------------------
All associations okay!