Kontrola logu HJK-Virus TCAV

[letadloaero]

Nevíte jsk se zbavit tohoto boot viru?
Když v biosu zákaži kontrolu, tak W2000 naběhnou, ale nic nelze spustit.
Ve stavu nouze něco běží něco ne.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:44:52, on 10.4.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.64:8000
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\Helper\Helper8.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [lsass] C:\WINNT\lsass.exe
O4 - HKLM\..\Run: [avp] C:\WINNT\TEMP\winA66.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: wingik32 - wingik32.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Aplikace Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\system32\IomegaAccess.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\system32\ZipToA.exe

--
End of file - 3438 bytes

[Reklama]

[Baron Prášil]

vítám tě na fóru PC-HELP

zkusíme to konvenčně tedy bezpečněji. to ovšem předpokládá,že nainstaluješ teď hned firewall
vyber si tady,doporučuju ZoneAlarm,Comodo nebo Ashampoo
návod na ZA http://www.kn.vutbr.cz/docs/conf/zonealarm/
na comodo http://www.nforce.cz/modules.php?name=N ... cle&sid=18
Ashampoo Firewall free + čeština

potom spust znova Hijackthis a fixni
v okně programu HJT zaškrtni nalevo u položek co napíšu a potom klik na Fix checked
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\Helper\Helper8.dll (file missing)
O4 - HKLM\..\Run: [lsass] C:\WINNT\lsass.exe
O4 - HKLM\..\Run: [avp] C:\WINNT\TEMP\winA66.exe
O20 - Winlogon Notify: wingik32 - wingik32.dll (file missing)

poté stahni a použij dle návodu avenger http://www.spyware.cz/go.php?p=spyware&t=aplikace&id=35
a do jeho okna vlož tento skript

Kód: Vybrat vše

Files to delete:
C:\WINNT\lsass.exe
O4 - HKLM\..\Run: [avp] C:\WINNT\TEMP\winA66.exe

po akci pošli log z avengera a novej log z hijackthis

[letadloaero]

FIREWALL JE NAINSTALOVANÝ NA SERVRU, TED DĚLÁM KONTROLU sEARCH&DESTROY AŽ DOJETE TA K UDĚLÁM NOVÝ LOG.

[Baron Prášil]

firewall máš hlavně v tom nortonu (moje přehlídnutí)
sken spybotem sem nechtěl-chtěl sem fix,avenger a oba logy

[letadloaero]

¨Tak teď ty logy.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows 2000

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINNT\lsass.exe" not found!
Deletion of file "C:\WINNT\lsass.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "O4 - HKLM\..\Run: [avp] C:\WINNT\TEMP\winA66.exe"
Deletion of file "O4 - HKLM\..\Run: [avp] C:\WINNT\TEMP\winA66.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:09:01, on 10.4.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode with network support

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.64:8000
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Aplikace Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\system32\IomegaAccess.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\system32\ZipToA.exe

--
End of file - 3207 bytes

[Baron Prášil]

avenger se sice nechyt,ale hjt to zafixoval. takže stále nejde normální mód,jestli chápu dobře.
ale zajímají mě ty hlášení. TCAV je boot antivirus od Trend.

[letadloaero]

PŘI BOOTOVANÍ , KDYŘ JE ZAPLÁ KONTROLA BOOT VIRŮ NASKOČÍ OKNO SE SDĚLENÍM:
Trend ChipAwayVirus has detected a boot virus on your hard disK!

pRESS ENTER FORE MORE INFORMATION OR C TO CONTINUE BOOTING.

COMPLETE VIRUS PROTECTION FOR THE ENTERPRISE!

TREND MICRO http://WWW.ANTIVIRUS.COM

POD TÍM BĚHÁ HLAVA A NA KONCI VŽDY PÍŠE TCAV ON GUARD.

PO ENTER:
RESTART YOUR SYSTEM
TO GO BACK PREVIOUS PAGE.

NA TÉ STRÁNCE JSEM NIC MOC NENAŠEL, JENOM NABÍDKY NA KOUPI JEJICH ANTIVIRU.

[Baron Prášil]

hele,od kdy se to děje? mě to přijde spíš jako hlášení o provedený detekci na boot viry.

přečti si toto a dej případně do souvislostí s tvím problémem
http://www.pcsvet.cz/art/article.php?id=4157

kompletní sken nortonem jsi dělal? hlásil něco? jestli nedělal-udělej. případně můžeš použít scaner MWAV
návod mám v podpisu.

doufám,že nestartuješ systém z diskety. no,abych to zhrnul,že by si měl boot virus je málo pravděpodobný.

[letadloaero]

I mě se to zdá hlášení o provedený detekci na boot viry, a od zobrazení tohoto hlášení nejdou W2000 tak jak mají.
Ráno jsem zapl PC naběhl W a restart a už tam byla hláška, ppod. bode asi boot sektor nakoplý.

V nouzovém režimu (W2000) nechce jít nic nainstalovat resp. spustit, žádný antivir = neodpovídá.

v normálním režimu, naběhne obrazovka a pořád jedou hodiny a nic nejde spustit.

spustit lze exe soubor max do 1 mb.

ccleaner ok,

[Baron Prášil]

vzhledem k těm předešlím nálezům použij (když půjde)SDFIX
Stáhni si SDFix
- Spusť ho a rozbalí se ti na disk kde je nainstalovaný Windows (typicky to je C:\SDfix)
- Pak restartuj PC do nouzového režimu (zvol možnost: Stav nouze, ne Stav nouze s práci v síti)
- Otevři adresář kde je vybalený SDFix a spusť soubor RunThis.bat tím spustíš program.
* Pak stiskni klávesu Y a pak Enter pro zahájení čistícího procesu.
* Pro dokončení kontroly budeš vyzván ke stisknoutí libovolné klávesy a počítač se restartuje.
* Při nabíhání operačního systému se program spustí znovu a dokončí čistící proces. Až se objeví Finish, budeš muset po vyzvání stisknout libovolnou klávesu, tim se ukončí program a zobrazí se ti ikony na ploše
- Když se skončí načítání ikon na ploše, otevře se ti na obrazovce log z SDFix a zároveň ho uloží do adresáře kde je rozbalený SDFix jako soubor Report.txt
Pak sem zkopíruj jeho obsah. + opět nový hijackthis

[letadloaero]

Nainstaloval SDFix a proved sem ten scan v nouzáku ale v průběhu mi to vypsalo hlášku "RepairSSODL2.reg a Assosfix.regAssosfix.reg nelze importovat. Při otevření došlo k chybě. Může se jsednat o chybu disku nebo systémového souboru. Ke konci skenu další hláška "FINDSTR: nelze číst ze seznamu souborů TESTPatchet03. txt.
kONEC, ale Wokna naběhnou a tím to skončí. Vůbec nenaskočí do systray Symantec.
Logy:
SDFix: Version 1.169
Run by PC1 on p  11.04.2008 at 7:53
Microsoft Windows 2000 [Verze 5.00.2195]
Running From: C:\SDFix
Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting

Checking Files :

No Trojan Files Found

Folder C:\Program Files\Helper - Removed

Removing Temp Files

ADS Check :
Final Check :

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-11 09:54:15
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?á? ?o?k?n?a? ?"="C:\WINNT\cursors\arrow_r.cur,C:\WINNT\cursors\help_r.cur,C:\WINNT\cursors\wait_r.cur,C:\WINNT\cursors\busy_r.cur,C:\WINNT\cursors\cross_r.cur,C:\WINNT\cursors\beam_r.cur,C:\WINNT\cursors\pen_r.cur,C:\WINNT\cursors\no_r.cur,C:\WINNT\cursors\size4_r.cur,C:\WINNT\cursors\size3_r.cur,C:\WINNT\cursors\size2_r.cur,C:\WINNT\cursors\size1_r.cur,C:\WINNT\cursors\move_r.cur,C:\WINNT\cursors\up_r.cur"
"\f\1e?r?n?á? ?o?k?n?a? ?(?v?e?l?k?é?)?"="C:\WINNT\cursors\arrow_rm.cur,C:\WINNT\cursors\help_rm.cur,C:\WINNT\cursors\wait_rm.cur,C:\WINNT\cursors\busy_rm.cur,C:\WINNT\cursors\cross_rm.cur,C:\WINNT\cursors\beam_rm.cur,C:\WINNT\cursors\pen_rm.cur,C:\WINNT\cursors\no_rm.cur,C:\WINNT\cursors\size4_rm.cur,C:\WINNT\cursors\size3_rm.cur,C:\WINNT\cursors\size2_rm.cur,C:\WINNT\cursors\size1_rm.cur,C:\WINNT\cursors\move_rm.cur,C:\WINNT\cursors\up_rm.cur"
"\f\1e?r?n?á? ?o?k?n?a? ?(?n?e?j?v?\e\1t?a\1í?)?"="C:\WINNT\cursors\arrow_rl.cur,C:\WINNT\cursors\help_rl.cur,C:\WINNT\cursors\wait_rl.cur,C:\WINNT\cursors\busy_rl.cur,C:\WINNT\cursors\cross_rl.cur,C:\WINNT\cursors\beam_rl.cur,C:\WINNT\cursors\pen_rl.cur,C:\WINNT\cursors\no_rl.cur,C:\WINNT\cursors\size4_rl.cur,C:\WINNT\cursors\size3_rl.cur,C:\WINNT\cursors\size2_rl.cur,C:\WINNT\cursors\size1_rl.cur,C:\WINNT\cursors\move_rl.cur,C:\WINNT\cursors\up_rl.cur"

scanning hidden files ...

C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\graphics[1].js 4368 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\sma3[1].js 7860 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\sma3[2].js 7860 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\urchin[1].js 21414 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\urchin[2].js 21414 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\urchin[4].js 21414 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\urchin[5].js 21414 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[10].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[11].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[12].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[13].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[14].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[15].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[16].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[17].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\proto_sc[18].jsgz 31617 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\ga[1].js 19428 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\ga[2].js 19789 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\ga[3].js 19789 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\ga[4].js 19789 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\ga[5].js 19789 bytes
C:\Documents and Settings\PC1\Local Settings\Temporary Internet Files\Content.IE5\8VHJMEBL\ga[6].js 19789 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 22

Remaining Services :

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Finished!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58:20, on 11.4.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode with network support

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.64:8000
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Aplikace Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\system32\IomegaAccess.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\system32\ZipToA.exe

--
End of file - 2950 bytes

[Baron Prášil]

hm,to nás k vyřešení neposunulo. takže ještě combofix .

Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log, který se ti zobrazí, jinak ho najdeš zde: C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah