druhý počítač Vyřešeno

[Fucza]

Tu je log z druhého počítače, ze kterého komunikuju. Jak přenáším na ten první ve flešce combofix a tak (nejde mi přes něj na net) tak ty viry jen lítají. Cvičně vždycky projedu flešku AVG na tomto compu a vždycky něco najde. Proto zakládám novou diskuzi, jestli to nevadí. V té jedné by to asi působilo chaos. Omlouvám se a prozatím moc díky.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:46, on 12.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP3 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\drivers\DllSrv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\DllSrv.exe
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: DllSrv Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\DllSrv.exe

--
End of file - 4260 bytes

[Reklama]

[jaro3]

To tam máš taky..............
Připoj tu flešku do PC.
Stáhni tento program:Flash Disinfector (by sUBs)
-Spusť Flash Disinfector a počkej až tě program bude informovat o ukončení své činnosti.
************************************************************************************************************************************
pak vypni AVG a aplikuj Combofix podle návodu v druhém příspěvku.

[Fucza]

Flashu jsem někde zapoměl. Takže to udělám pak:-( Doufám, že neva.

Tu je log:
ComboFix 09-03-10.03 - Sborovna_ 2009-03-13 6:48:54.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1029.18.511.246 [GMT 1:00]
Spuštěný z: c:\documents and settings\Sborovna_\Plocha\ComboFix.exe
AV: AVG 7.5.557 *On-access scanning disabled* (Updated)
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-02-13 do 2009-03-13 )))))))))))))))))))))))))))))))
.

2009-03-12 16:55 . 2009-03-12 16:55 <DIR> d-------- c:\program files\Trend Micro
2009-03-12 16:06 . 2009-03-13 06:36 35,885 --a------ c:\documents and settings\Sborovna_\g6l5k37g5s7.exe
2009-03-12 12:33 . 2009-03-12 17:22 744,960 --a------ c:\documents and settings\Sborovna_\c4m2m9o4vp9.exe
2009-03-12 12:29 . 2009-03-12 12:29 <DIR> dr-hs---- C:\RESTORE
2009-03-12 12:29 . 2009-03-12 12:29 744,960 -r-hs---- c:\windows\system32\drivers\DllSrv.exe
2009-03-10 07:26 . 2009-03-12 16:10 <DIR> dr-h----- C:\$VAULT$.AVG
2009-03-09 10:43 . 2009-03-12 17:04 <DIR> d-------- c:\documents and settings\Sborovna_\Data aplikací\AVG7
2009-03-09 10:43 . 2009-03-09 10:43 <DIR> d-------- c:\documents and settings\LocalService\Data aplikací\AVG7
2009-03-09 10:43 . 2009-03-09 10:43 499,712 --a------ c:\windows\system32\msvcp71.dll
2009-03-09 10:43 . 2009-03-09 10:43 348,160 --a------ c:\windows\system32\msvcr71.dll
2009-03-09 10:42 . 2009-03-09 10:42 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Grisoft
2009-03-09 10:42 . 2009-03-12 14:34 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\avg7
2009-03-09 10:32 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-03-09 10:30 . 2009-03-09 10:31 <DIR> d-------- c:\windows\SHELLNEW
2009-03-09 10:28 . 2009-03-09 10:28 <DIR> dr-h----- C:\MSOCache
2009-03-09 10:22 . 2009-03-09 10:22 <DIR> d--h----- C:\BJPrinter
2009-03-09 10:22 . 2004-02-03 05:00 107,008 --a------ c:\windows\system32\CNMLM58.DLL
2009-03-09 10:22 . 2003-05-13 09:50 73,728 --a------ c:\windows\system32\CNMCP58.exe
2009-03-09 10:22 . 2008-04-14 00:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-03-09 10:22 . 2008-04-14 00:17 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-03-09 10:22 . 2004-02-03 05:00 6,656 --a------ c:\windows\system32\CNMVS58.DLL
2009-03-09 10:19 . 2009-03-09 10:20 <DIR> d-------- c:\program files\Common Files\Adobe
2009-03-09 09:44 . 2009-03-09 09:44 13,646 --a------ c:\windows\system32\wpa.bak
2009-03-09 09:30 . 2008-06-14 18:35 272,128 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-09 09:30 . 2009-03-09 09:39 1,341 --a------ c:\windows\WINCMD.INI
2009-03-09 09:20 . 2009-02-09 15:07 1,846,784 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-03-09 09:19 . 2008-08-14 14:26 2,191,360 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-09 09:19 . 2008-08-14 14:26 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-09 09:19 . 2008-08-14 14:26 2,068,224 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-09 09:19 . 2008-08-14 14:26 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-09 09:19 . 2006-05-03 11:57 520,192 --------- c:\windows\system32\ati2sgag.exe
2009-03-09 09:19 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-09 09:19 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-09 09:19 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-09 09:19 . 2009-03-09 10:32 390 --a------ c:\windows\ODBC.INI
2009-03-09 09:18 . 2009-03-09 09:18 <DIR> d-------- c:\program files\ATI Technologies
2009-03-09 09:18 . 2008-04-11 20:06 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-09 09:18 . 2008-05-01 15:37 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-03-09 09:14 . 2009-03-09 09:14 <DIR> d-------- C:\ATI
2009-03-09 09:14 . 2008-09-04 18:17 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-03-09 09:14 . 2008-10-15 17:38 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 08:18 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-09 08:15 --------- d-----w c:\program files\Common Files\InstallShield
2009-03-09 07:58 --------- d-----w c:\program files\XnView
2009-03-09 07:58 --------- d-----w c:\documents and settings\Sborovna_\Data aplikací\XnView
2009-03-09 07:36 --------- d-----w c:\program files\VIA
2009-03-09 07:21 --------- d-----w c:\program files\microsoft frontpage
2009-02-09 14:07 1,846,784 ----a-w c:\windows\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2009-03-09 590848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2009-03-09 219136]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=

R2 DllSrv Service Controler;DllSrv Service Controler;c:\windows\system32\drivers\DllSrv.exe [2009-03-12 744960]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2006-03-02 69120]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46446a8c-0d3c-11de-8bf6-000e2ef34e7a}]
\Shell\AutoRun\command - e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
\Shell\open\command - e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd941e9b-0ecd-11de-8bf8-000e2ef34e7a}]
\Shell\AutoRun\command - e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
\Shell\open\command - e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}]
c:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-13 06:50:15
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(504)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2009-03-13 6:51:21
ComboFix-quarantined-files.txt 2009-03-13 05:51:19

Před spuštěním: Volných bajtů: 33 091 776 512
Po spuštění: Volných bajtů: 33,106,194,432

125 --- E O F --- 2009-03-11 14:22:16

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\documents and settings\Sborovna_\g6l5k37g5s7.exe
c:\documents and settings\Sborovna_\c4m2m9o4vp9.exe
c:\documents and settings\Učebna\kz7r4h3l1z6h2.exe
c:\windows\system32\drivers\DllSrv.exe

Driver::
DllSrv

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

[Fucza]

V průběhu vyhodil hlášku, že něco nemůže najít. Jinak to připojení k netu zde fungovalo taky jen do 5 minut, pak nic, ale po tvrdém restartu to zase najelo:

ComboFix 09-03-12.01 - Sborovna_ 2009-03-13 8:39:56.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1029.18.511.247 [GMT 1:00]
Spuštěný z: c:\documents and settings\Sborovna_\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Sborovna_\Plocha\CFScript.txt
AV: AVG 7.5.557 *On-access scanning disabled* (Updated)
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
c:\documents and settings\Sborovna_\c4m2m9o4vp9.exe
c:\documents and settings\Sborovna_\g6l5k37g5s7.exe
c:\documents and settings\Učebna\kz7r4h3l1z6h2.exe
c:\windows\system32\drivers\DllSrv.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Sborovna_\c4m2m9o4vp9.exe
c:\windows\system32\drivers\DllSrv.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-02-13 do 2009-03-13 )))))))))))))))))))))))))))))))
.

2009-03-12 16:55 . 2009-03-12 16:55 <DIR> d-------- c:\program files\Trend Micro
2009-03-12 12:29 . 2009-03-12 12:29 <DIR> dr-hs---- C:\RESTORE
2009-03-10 07:26 . 2009-03-13 08:15 <DIR> dr-h----- C:\$VAULT$.AVG
2009-03-09 10:43 . 2009-03-13 08:00 <DIR> d-------- c:\documents and settings\Sborovna_\Data aplikací\AVG7
2009-03-09 10:43 . 2009-03-09 10:43 <DIR> d-------- c:\documents and settings\LocalService\Data aplikací\AVG7
2009-03-09 10:43 . 2009-03-09 10:43 499,712 --a------ c:\windows\system32\msvcp71.dll
2009-03-09 10:43 . 2009-03-09 10:43 348,160 --a------ c:\windows\system32\msvcr71.dll
2009-03-09 10:42 . 2009-03-09 10:42 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\Grisoft
2009-03-09 10:42 . 2009-03-12 14:34 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\avg7
2009-03-09 10:32 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-03-09 10:30 . 2009-03-09 10:31 <DIR> d-------- c:\windows\SHELLNEW
2009-03-09 10:28 . 2009-03-09 10:28 <DIR> dr-h----- C:\MSOCache
2009-03-09 10:22 . 2009-03-09 10:22 <DIR> d--h----- C:\BJPrinter
2009-03-09 10:22 . 2004-02-03 05:00 107,008 --a------ c:\windows\system32\CNMLM58.DLL
2009-03-09 10:22 . 2003-05-13 09:50 73,728 --a------ c:\windows\system32\CNMCP58.exe
2009-03-09 10:22 . 2008-04-14 00:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-03-09 10:22 . 2008-04-14 00:17 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-03-09 10:22 . 2004-02-03 05:00 6,656 --a------ c:\windows\system32\CNMVS58.DLL
2009-03-09 10:19 . 2009-03-09 10:20 <DIR> d-------- c:\program files\Common Files\Adobe
2009-03-09 09:44 . 2009-03-09 09:44 13,646 --a------ c:\windows\system32\wpa.bak
2009-03-09 09:30 . 2008-06-14 18:35 272,128 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-09 09:30 . 2009-03-09 09:39 1,341 --a------ c:\windows\WINCMD.INI
2009-03-09 09:20 . 2009-02-09 15:07 1,846,784 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-03-09 09:19 . 2008-08-14 14:26 2,191,360 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-09 09:19 . 2008-08-14 14:26 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-09 09:19 . 2008-08-14 14:26 2,068,224 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-09 09:19 . 2008-08-14 14:26 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-09 09:19 . 2006-05-03 11:57 520,192 --------- c:\windows\system32\ati2sgag.exe
2009-03-09 09:19 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-09 09:19 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-09 09:19 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-09 09:19 . 2009-03-09 10:32 390 --a------ c:\windows\ODBC.INI
2009-03-09 09:18 . 2009-03-09 09:18 <DIR> d-------- c:\program files\ATI Technologies
2009-03-09 09:18 . 2008-04-11 20:06 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-09 09:18 . 2008-05-01 15:37 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-03-09 09:14 . 2009-03-09 09:14 <DIR> d-------- C:\ATI
2009-03-09 09:14 . 2008-09-04 18:17 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-03-09 09:14 . 2008-10-15 17:38 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 08:18 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-09 08:15 --------- d-----w c:\program files\Common Files\InstallShield
2009-03-09 07:58 --------- d-----w c:\program files\XnView
2009-03-09 07:58 --------- d-----w c:\documents and settings\Sborovna_\Data aplikací\XnView
2009-03-09 07:36 --------- d-----w c:\program files\VIA
2009-03-09 07:21 --------- d-----w c:\program files\microsoft frontpage
2009-02-09 14:07 1,846,784 ----a-w c:\windows\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2009-03-09 590848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2009-03-09 219136]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=

R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2006-03-02 69120]
S2 DllSrv Service Controler;DllSrv Service Controler;"c:\windows\system32\drivers\DllSrv.exe" --> c:\windows\system32\drivers\DllSrv.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46446a8c-0d3c-11de-8bf6-000e2ef34e7a}]
\Shell\AutoRun\command - e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
\Shell\open\command - e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd941e9b-0ecd-11de-8bf8-000e2ef34e7a}]
\Shell\AutoRun\command - e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
\Shell\open\command - e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}]
c:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-13 08:41:17
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(500)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2009-03-13 8:42:31
ComboFix-quarantined-files.txt 2009-03-13 07:42:23
ComboFix2.txt 2009-03-13 05:51:22

Před spuštěním: Volných bajtů: 33 091 039 232
Po spuštění: Volných bajtů: 33,086,357,504

129 --- E O F --- 2009-03-11 14:22:16

[Fucza]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:45:06, on 13.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP3 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: DllSrv Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\DllSrv.exe (file missing)

--
End of file - 4006 bytes

[jaro3]

Tady to máš na c:
Takže to zkus pro kontrolu dát ještě na VirusTotal:
c:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:

Kód: Vybrat vše

O23 - Service: DllSrv Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\DllSrv.exe (file missing)

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u

vyčisti systém CCleanerem

a použij i T-Cleaner
smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš>spustíš

pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG, následně T-Cleaner smaž a zapni si AVG.


Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.
Pokud chceš zachovat svoje uložená hesla, klikni na No.

Doinstaluj si javu:
Java SE Runtime Environment 6u12
Vyber OS ( předpokládám Windows), zatržítko agree-continue
Vyber:
Windows Offline Installation
jre-6u12-windows-i586-p.exe
Napiš , jak se chová comp.

[Fucza]

Soubor RanDll.exe přijatý 2009.03.13 09:51:49 (CET)
Současný stav: Čekejte ... Ve frontě Čekání Testování Dokončeno NENALEZENO ZASTAVENO


Výsledek: 15/39 (38.47%)
Načítám informace ze serveru...
Váš soubor čeká ve frontě na pozici: 3.
Odhadovaný čas začátku mezi 56 a 80 sekundami.
Nezavírejte toto okno dokud nebude test dokončen.
Právě testující program byl je zastaven, probíhá čekání na program.
Za chvíli bude proveden další pokus o otestování souboru.
Pokud budete čekat déle než-li pět minut odešlete Váš soubor znovu.
Váš soubor je nyní testován pomocí VirusTotal,
výsledky budou zobrazeny po dokončení.
Formátované Vytisknout výsledky
Váš soubor není platný, nebo neexistuje.
Služba je pozastavena v tuto chvíli, váš soubor čeká na otestování (pozice: ) po nespecifikovanou dobu.

Nyní čekejte na odezvu webu (automatické obnovení), nebo napište email do pole a klikněte na "vyžádat" a systém Vám zašle email s výsledky až bude test hotov.
Email:


Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.0.0.101 2009.03.13 -
AhnLab-V3 5.0.0.2 2009.03.13 -
AntiVir 7.9.0.114 2009.03.13 TR/Crypt.ZPACK.Gen
Authentium 5.1.0.4 2009.03.12 W32/Heuristic-210!Eldorado
Avast 4.8.1335.0 2009.03.12 -
AVG 8.0.0.237 2009.03.13 -
BitDefender 7.2 2009.03.13 -
CAT-QuickHeal 10.00 2009.03.13 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.03.13 -
Comodo 1051 2009.03.12 -
DrWeb 4.44.0.09170 2009.03.13 -
eSafe 7.0.17.0 2009.03.12 Win32.TRCrypt.ZPACK
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.12 W32/Heuristic-210!Eldorado
F-Secure 8.0.14470.0 2009.03.13 Worm.Win32.AutoRun.ffy
Fortinet 3.117.0.0 2009.03.13 -
GData 19 2009.03.13 -
Ikarus T3.1.1.45.0 2009.03.13 -
K7AntiVirus 7.10.668 2009.03.12 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.03.13 Worm.Win32.AutoRun.ffy
McAfee 5551 2009.03.12 -
McAfee+Artemis 5551 2009.03.12 Generic!Artemis
McAfee-GW-Edition 6.7.6 2009.03.13 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4405 2009.03.13 Worm:Win32/Hamweq.A
NOD32 3933 2009.03.13 Win32/AutoRun.Agent.LG
Norman 6.00.06 2009.03.12 -
nProtect 2009.1.8.0 2009.03.13 -
Panda 10.0.0.10 2009.03.12 -
PCTools 4.4.2.0 2009.03.13 -
Prevx1 V2 2009.03.13 -
Rising 21.20.41.00 2009.03.13 -
Sophos 4.39.0 2009.03.13 Sus/UnkPacker
Sunbelt 3.2.1858.2 2009.03.13 Trojan.Crypt.ZPACK.Gen
Symantec 1.4.4.12 2009.03.13 Suspicious.MH690.A
TheHacker 6.3.3.0.281 2009.03.13 -
TrendMicro 8.700.0.1004 2009.03.13 -
VBA32 3.12.10.1 2009.03.12 -
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.5.11.0 2009.03.12 -
Rozšiřující informace
File size: 670720 bytes
MD5...: 519f857b9c1022b38890502964b30468
SHA1..: 904426c37b2c00cf8c4a8187d6bfb0b5dce72cf2
SHA256: 269c947780d27fd7dc36572d13499c1d01524c7ba4eb58fc80df68ffe0dba415
SHA512: da4d9bd579f1b5be6c27536760ceb71de781ef51e3cccfd3d0995965aa0ceed3
6eec6853690f11028614da1d986ef8ea94d117a078762a6ea92a92aef345be45
ssdeep: 12288:CkvE11Or4/m6zD3mBbMkK+5DGt+YZV0/Z1vDF:fvE11OxHK+95uOZ1vD

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x17a000
timedatestamp.....: 0x49a999ce (Sat Feb 28 20:08:46 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
dsddtwqk 0x1000 0x4000 0x1600 7.93 6d655881cefdf471981300d253a1e444
.rsrc 0x5000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
eyvtiaex 0x6000 0x1000 0x200 0.54 bd75de459ec40dc5111db94d104d39f5
cvytqknd 0x7000 0x173000 0xa0400 7.91 5f56157566481d7995794b680b4464cb
tfxeqnjp 0x17a000 0x1000 0x1000 0.29 3c88a75fd339ce7c0c8d43035bf9c9b6

( 1 imports )
> kernel32.dll: lstrlenA

( 0 exports )

packers (F-Prot): Themida
packers (Authentium): Themida
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=519f857b9c1022b38890502964b30468' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=519f857b9c1022b38890502964b30468</a>

[Fucza]

Tak vše jsem udělal. Zatím to vypadá asi dobře. Chci se zeptat jaký antispywarwe by ste doporučil? Aby to trochu chránilo a čím projet flashky, aby se tam trojani nevyskytovali a mohly se v pohodě využívat? (aby sem to zase nemusel s vaší pomocí čistit příští týden). Kamarád mi doporučil spyware terminatora. Mohlo by být?

[Fucza]

No možná připojení na net se mi zdá trochu lazy

[jaro3]

SpywareTerminator můžeš použít.

Combofix už si odinstaloval , takže toto:
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

@echo off
sc stop DllSrv
sc delete DllSrv
exit

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: FixServices.bat
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Poklepej na soubor FixServices.bat . Okno se otevře a zavře, to je normální.
*****************************************************************************************
Stáhni si program OTMoveIt3 (by OldTimer) a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46446a8c-0d3c-11de-8bf6-000e2ef34e7a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd941e9b-0ecd-11de-8bf8-000e2ef34e7a}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}]

:Files
c:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe
e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.

[Fucza]

Zde to je:
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46446a8c-0d3c-11de-8bf6-000e2ef34e7a}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd941e9b-0ecd-11de-8bf8-000e2ef34e7a}\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}\\ deleted successfully.
========== FILES ==========
c:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe moved successfully.
File/Folder e:\restore\k-1-3542-4232123213-7676767-8888886\RanDll.exe not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_fc0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03132009_115133

Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_fc0.dat not found!