Prosím o kontrolu logu z Mwav

[JennyK.]

Dobrý den, poslední dobou mi víc a víc hapruje PC. Projela jsem komp MWAVem a docela mě překvapilo, co všechno to našlo, jelikož pravidelně používám všemožné "zabijáky" virů a havěti.

Takže zde je log a já prosím nějakou dobrou duši o nápovědu, co mám udělat dále.

Děkuju!

Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "grokster Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "funwebproducts Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "look2me Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "NULLBYTE Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "grokster Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "combo Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "spyware.smartpckeylog Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "backdoor (ircbot) trojans Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "backdoor (ircbot) trojans Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Objekt "holistyc Dialer" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".pf". Provedené akce: Ponecháno, neodstraněno!.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "HijackThis". Provedené akce: Ponecháno, neodstraněno!.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "Mozilla Firefox (2.0.0.14)". Provedené akce: Ponecháno, neodstraněno!.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "{AC76BA86-7AD7-1029-7B44-A80000000000}". Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\fx3_s.exe je infikovaný virem Rootkit.Win32.Agent.gh !! Provedené akce: Ponecháno, neodstraněno!.

[Reklama]

[bellatrix]

Ahoj,

su to len zbytky po vyliecenej infekcii a neplatne zaznamy v registroch - nic nebezpecne, odporucam precistit ccleanerom

tento subor: C:\fx3_s.exe najdi a zmaz, ak by to neslo, daj vediet.

[zlobyl]

Já tam vidím virus poof.

Použij ComboFix:(před jeho použitím povypínej všechny rezidentní štíty)

Stáhni ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[JennyK.]

Zde je log z Combofix:

ComboFix 08-06-20.4 - JK 2008-06-21 22:04:05.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.18 [GMT 2:00]
Running from: C:\Documents and Settings\JK\Plocha\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\msvrc20.dll
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\koos.exe
C:\WINDOWS\system32\kprof
C:\WINDOWS\system32\poof
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_POOF


((((((((((((((((((((((((( Files Created from 2008-05-21 to 2008-06-21 )))))))))))))))))))))))))))))))
.

2008-06-21 16:51 . 2008-06-21 16:51 0 --a------ C:\23990098.$$$
2008-06-17 16:54 . 2008-06-17 16:54 510 --a------ C:\s3o4
2008-06-17 08:52 . 2008-06-21 22:10 24,263 --a------ C:\WINDOWS\system32\oodbs.lor
2008-06-16 22:45 . 2008-06-16 22:45 <DIR> d-------- C:\Program Files\Opera
2008-06-16 22:23 . 2008-06-16 22:23 <DIR> d-------- C:\WINDOWS\system32\oodag
2008-06-16 22:10 . 2008-06-16 22:10 <DIR> d-------- C:\Program Files\Windows Doctor
2008-06-16 22:09 . 2008-06-16 22:09 0 --a------ C:\WINDOWS\oodcnt.INI
2008-06-16 22:07 . 2008-06-16 22:07 <DIR> d-------- C:\Program Files\OO Software
2008-06-16 21:28 . 2008-06-16 21:28 <DIR> d-------- C:\Program Files\IObit
2008-06-15 12:17 . 2008-06-16 22:41 <DIR> d-------- C:\Program Files\SolSuite
2008-06-14 13:46 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-14 13:44 . 2008-06-14 13:46 <DIR> d-------- C:\Program Files\Java
2008-06-14 13:44 . 2008-06-14 13:44 <DIR> d-------- C:\Program Files\Common Files\Java
2008-06-12 15:27 . 2008-06-12 15:32 <DIR> d-------- C:\WinFast WorkArea
2008-06-12 15:27 . 2001-12-19 15:47 49,152 --------- C:\WINDOWS\system32\TempDel.EXE
2008-06-12 15:27 . 2005-01-06 16:55 9,446 --a------ C:\WINDOWS\system32\drivers\WFIOCTL.sys
2008-06-12 15:27 . 2002-06-03 23:01 8,734 --a------ C:\WINDOWS\system32\WFSch.ICO
2008-06-12 15:15 . 2008-06-12 15:16 <DIR> d-------- C:\WINDOWS\system32\DX9
2008-06-12 15:15 . 2004-10-18 11:25 208,851 --a------ C:\WINDOWS\system32\drivers\wf88vcap.sys
2008-06-12 15:15 . 2004-10-18 11:25 34,789 --a------ C:\WINDOWS\system32\drivers\wf88tune.sys
2008-06-12 15:15 . 2004-10-18 11:25 10,324 --a------ C:\WINDOWS\system32\drivers\WF88XBAR.sys
2008-06-12 15:15 . 2002-06-03 22:52 2,238 --a------ C:\WINDOWS\system32\WFDRV.ico
2008-06-08 00:14 . 2008-06-08 00:14 <DIR> d--h----- C:\WINDOWS\Icons
2008-06-05 22:56 . 2008-06-05 22:56 510 --a------ C:\ssc

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 07:07 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-16 07:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-31 14:27 --------- d-----w C:\Program Files\Winamp
2008-05-23 19:36 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-05-23 13:32 --------- d-----w C:\Program Files\BSplayer Pro
2008-05-14 16:06 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-05-14 16:03 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2007-08-07 13:56 88 --sh--r C:\WINDOWS\system32\360504AC5E.sys
2007-08-07 13:56 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-03-10 21:58 949376]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 13:06 40048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 16:49 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 -noicon
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" -minimize
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"SoundMan"=SOUNDMAN.EXE
"WinFast Schedule"=C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
"AtiPTA"=atiptaxx.exe
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\QIP\\qip.exe"=
"C:\\Program Files\\ICQLite\\ICQLite.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-17 16:49]
R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;C:\WINDOWS\system32\drivers\wf88vcap.sys [2004-10-18 11:25]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;C:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 11:25]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;C:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 11:25]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-04 00:04]
S3 PAC207;VideoCAM GF112;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-04-08 10:46]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 18:05]
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys [2001-09-19 14:28]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contents of the 'Scheduled Tasks' folder
"2008-06-13 15:16:53 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-21 22:11:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-06-21 22:16:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-21 20:16:23

Adresářů: 9, Volných bajtů: 3,960,152,064
Adres ý…: 11, Volněch bajt…: 4,043,784,192

141

[zlobyl]

Použij v ComboFixu script:

Zkopíruj si následující text do poznámkového bloku (Start-Spustit-Notepad) a ulož ho na Plochu jako CFScript.txt.
(nepoužívej funkci Vybrat vše!)

Kód: Vybrat vše

File::
C:\s3o4
C:\ssc
C:\fx3_s.exe

Pak tento soubor přetáhni na ikonu ComboFixu a pusť.(předpokládám, že máš ComboFix také na ploše)



Pak sem dej log, který ti z něj vyleze.

A ještě udělej nový log z HJT.

[JennyK.]

Takže zde je ten log z Combofixu.


ComboFix 08-06-20.4 - JK 2008-06-22 12:37:13.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.32 [GMT 2:00]
Running from: C:\Documents and Settings\JK\Plocha\ComboFix.exe
Command switches used :: C:\Documents and Settings\JK\Plocha\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\fx3_s.exe
C:\s3o4
C:\ssc
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\s3o4
C:\ssc

.
((((((((((((((((((((((((( Files Created from 2008-05-22 to 2008-06-22 )))))))))))))))))))))))))))))))
.

2008-06-21 22:50 . 2008-06-21 22:50 <DIR> d-------- C:\Program Files\Trend Micro
2008-06-21 16:51 . 2008-06-21 16:51 0 --a------ C:\23990098.$$$
2008-06-17 08:52 . 2008-06-22 12:21 25,540 --a------ C:\WINDOWS\system32\oodbs.lor
2008-06-16 22:45 . 2008-06-16 22:45 <DIR> d-------- C:\Program Files\Opera
2008-06-16 22:23 . 2008-06-16 22:23 <DIR> d-------- C:\WINDOWS\system32\oodag
2008-06-16 22:10 . 2008-06-16 22:10 <DIR> d-------- C:\Program Files\Windows Doctor
2008-06-16 22:09 . 2008-06-16 22:09 0 --a------ C:\WINDOWS\oodcnt.INI
2008-06-16 22:07 . 2008-06-16 22:07 <DIR> d-------- C:\Program Files\OO Software
2008-06-16 21:28 . 2008-06-16 21:28 <DIR> d-------- C:\Program Files\IObit
2008-06-15 12:19 . 2008-06-16 22:41 <DIR> d-------- C:\Documents and Settings\JK\Data aplikací\SolSuite
2008-06-15 12:19 . 2008-06-16 22:41 <DIR> d-------- C:\Documents and Settings\JK\Data aplikací\SolSuite
2008-06-15 12:19 . 2008-06-16 22:41 <DIR> d-------- C:\Documents and Settings\JK\Data aplikací\SolSuite
2008-06-15 12:17 . 2008-06-16 22:41 <DIR> d-------- C:\Program Files\SolSuite
2008-06-14 13:46 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-14 13:44 . 2008-06-14 13:46 <DIR> d-------- C:\Program Files\Java
2008-06-14 13:44 . 2008-06-14 13:44 <DIR> d-------- C:\Program Files\Common Files\Java
2008-06-12 15:27 . 2008-06-12 15:32 <DIR> d-------- C:\WinFast WorkArea
2008-06-12 15:27 . 2001-12-19 15:47 49,152 --------- C:\WINDOWS\system32\TempDel.EXE
2008-06-12 15:27 . 2005-01-06 16:55 9,446 --a------ C:\WINDOWS\system32\drivers\WFIOCTL.sys
2008-06-12 15:27 . 2002-06-03 23:01 8,734 --a------ C:\WINDOWS\system32\WFSch.ICO
2008-06-12 15:15 . 2008-06-12 15:16 <DIR> d-------- C:\WINDOWS\system32\DX9
2008-06-12 15:15 . 2004-10-18 11:25 208,851 --a------ C:\WINDOWS\system32\drivers\wf88vcap.sys
2008-06-12 15:15 . 2004-10-18 11:25 34,789 --a------ C:\WINDOWS\system32\drivers\wf88tune.sys
2008-06-12 15:15 . 2004-10-18 11:25 10,324 --a------ C:\WINDOWS\system32\drivers\WF88XBAR.sys
2008-06-12 15:15 . 2002-06-03 22:52 2,238 --a------ C:\WINDOWS\system32\WFDRV.ico
2008-06-08 00:14 . 2008-06-08 00:14 <DIR> d--h----- C:\WINDOWS\Icons

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 15:07 --------- d-----w C:\Documents and Settings\JK\Data aplikací\Skype
2008-06-17 15:07 --------- d-----w C:\Documents and Settings\JK\Data aplikací\Skype
2008-06-17 15:07 --------- d-----w C:\Documents and Settings\JK\Data aplikací\Skype
2008-06-17 07:07 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-16 07:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-06-12 19:56 --------- d-----w C:\Documents and Settings\JK\Data aplikací\MegauploadToolbar
2008-06-12 19:56 --------- d-----w C:\Documents and Settings\JK\Data aplikací\MegauploadToolbar
2008-06-12 19:56 --------- d-----w C:\Documents and Settings\JK\Data aplikací\MegauploadToolbar
2008-05-31 14:27 --------- d-----w C:\Program Files\Winamp
2008-05-23 19:36 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-05-23 13:32 --------- d-----w C:\Program Files\BSplayer Pro
2008-05-14 16:06 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-05-14 16:03 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2007-08-03 10:19 476,752 ----a-w C:\Documents and Settings\All Users\Data aplikací\pswi_preloaded.exe
2007-08-07 13:56 88 --sh--r C:\WINDOWS\system32\360504AC5E.sys
2007-08-07 13:56 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-06-21_22.15.52.77 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-21 20:10:18 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-22 10:21:57 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" [2006-07-11 12:06 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-03-10 21:58 949376]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 13:06 40048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 16:49 15360]

C:\Documents and Settings\Guest\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Last.fm Helper.lnk - C:\Program Files\Last.fm\LastFMHelper.exe [2007-07-22 10:13:48 106496]

C:\Documents and Settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-03-11 13:34:43 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 -noicon
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" -minimize
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"SoundMan"=SOUNDMAN.EXE
"WinFast Schedule"=C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
"AtiPTA"=atiptaxx.exe
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\QIP\\qip.exe"=
"C:\\Program Files\\ICQLite\\ICQLite.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-17 16:49]
R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;C:\WINDOWS\system32\drivers\wf88vcap.sys [2004-10-18 11:25]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;C:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 11:25]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;C:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 11:25]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-04 00:04]
S3 PAC207;VideoCAM GF112;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-04-08 10:46]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 18:05]
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys [2001-09-19 14:28]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2008-06-13 15:16:53 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-22 12:40:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
Completion time: 2008-06-22 12:44:35
ComboFix-quarantined-files.txt 2008-06-22 10:44:30
ComboFix2.txt 2008-06-21 20:16:34

Adresářů: 9, Volných bajtů: 3,925,635,072
Adresářů: 11, Volných bajtů: 3,914,407,936

147

[JennyK.]

A tady je log z Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:52, on 22.6.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4565 bytes

[JennyK.]

A ještě jsem se chtěla zeptat, zda je možné, že nějaká ta havěť způsobila, že mi nejde jak úsporný režim, tak režim spánku....??

Vždy to jen přeblikne na obrazovku : "Příprava na přechod...." a na tom se to zastaví a do požadovaného režimu komp nepřejde. Musím pak komp restartovat, jiná možnost není.

[zlobyl]

Takže podle mě už tam žádný virus není.

Otevři si Start-Spustit a zadej ComboFix[mezera]/u

V HJT fixni:

Kód: Vybrat vše

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

Jinak je to možné, že virus zablokoval tyto úsporné režimy.Prozatím zkus toto:

1. Otevři si Ovládací panely-Možnosti napájení-Režim spánku a vypni režim spánku.
2. Pak jdi do Ovládacích panelů-Systému-Obnovení systému a vypni obnovení systému.
3. Spusť si Start-Spustit-cmd a zadej CHKDSK C: /X a potvrď Enterem.
4. Povol kontrolu při restartu a restartuj.
5. Zapni jak Obnovení systému, tak Režim spánku.
6. Opět restartuj.

[JennyK.]

Takže já MOC A MOC děkuju za "odvšivení" kompu.




Bohužel - problém s režimy stále přetrvává, ale problémy se samotným chodem kompu se ztratily.

[zlobyl]

Nemáš zač.Jsem rád, že jsem ti pomohl.

Jiank jsem trochu přemýšlel nad tím problémem s úspornými režimy a došel jsem k závěru, že by ještě mohlo pomoci odinstalovat a znovu nainstalovat ovladače grafické karty-ATI Catalyst.
Měly by jít odinstalovat standartně pomocí Přidat nebo odebrat programy a nainstaluješ je standartně z CD s ovladači.

[JennyK.]

Ještě jednou Ti moc děkuju za čas, který jsi věnoval tomu, abys mi pomohl. V této době to je vzácné.


Bohužel ten problém s režimy asi nevyřešim, už na to hledám odpověď skoro měsíc, zkoušela jsem snad cokoliv.