prosím o kontrolu logu a pomoc,MWAV+hijack Vyřešeno

[lugr]

prosím poraďte
avas mi občas vyhodí upozornění na:
7.3.2009 8:00:20 grebi 1036 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\VVOMFG7B\xywgcz[1].jpg\[UPX]"
které vždy potvrdím smazat

tak jsem projel systém Malwarebytes' Anti-Malware nic moc nenašel a když našel tak se situace stejně moc nezměnila
a proto jsem projel všechny disky MWAV skenerem
a tady je výsledek
zajímavé je že mi odstranil dva soubory (při normálním skenu je jen označil ale při skenu všech disku je potom smazal)
možná že tím že je smazal to vyřešil ale i tak mi na to mrkněte a poradte co s tím
DÍKY MOC

27 III 2009 07:51:03 - Nastavení vybraná uživatelem:
27 III 2009 07:51:03 - Kontrola paměti: Zapnuto
27 III 2009 07:51:03 - Kontorla registrů: Zapnuto
27 III 2009 07:51:03 - Kontrola souborů po spuštění: Zapnuto
27 III 2009 07:51:03 - Kontrola systémových složek: Zapnuto
27 III 2009 07:51:03 - Kontrola služeb: Zapnuto
27 III 2009 07:51:03 - Otestovat Spyware: Zapnuto
27 III 2009 07:51:03 - Kotrola disku: Vypnuto
27 III 2009 07:51:03 - Kontrola všech disků:Zapnuto
27 III 2009 07:51:03 - Kontrola složek: Vypnuto
27 III 2009 07:51:03 - SCAN: All_Files


27 III 2009 07:51:51 - ***** Testování služeb *****
27 III 2009 07:51:51 - ERROR!!! Invalid Entry \??\C:\DOCUME~1\grebi\LOCALS~1\Temp\ALSysIO.sys in HKLM\SYSTEM\CurrentControlSet\Services\ALSysIO. Action Taken: No Action Taken.
27 III 2009 07:51:52 - Testování souboru C:\WINNT\system32\drivers\AsIO.sys (????)
27 III 2009 07:51:52 - ERROR!!! Invalid Entry \??\C:\Documents and Settings\grebi\Plocha\Downloads\Nová složka\Nová složka\atidgllk.sys in HKLM\SYSTEM\CurrentControlSet\Services\atidgllk. Action Taken: No Action Taken.



27 III 2009 07:51:54 - ERROR!!! Invalid Entry system32\DRIVERS\gmfiltr.sys in HKLM\SYSTEM\CurrentControlSet\Services\genmcmn. Action Taken: No Action Taken.
27 III 2009 07:51:54 - ERROR!!! Invalid Entry \??\E:\INSTALL\GMSIPCI.SYS in HKLM\SYSTEM\CurrentControlSet\Services\GMSIPCI. Action Taken: No Action Taken.

27 III 2009 07:51:54 - ERROR!!! Invalid Entry %SystemRoot%\System32\hidserv.dll in HKLM\SYSTEM\CurrentControlSet\Services\HidServ\Parameters. Action Taken: No Action Taken.
27 III 2009 07:51:54 - Testování souboru C:\WINNT\system32\DRIVERS\hidusb.sys


27 III 2009 07:52:00 - ***** Prohledávání registrů a souborů na přítomnost Adware/Spyware *****
27 III 2009 07:52:00 - Loading Spyware Signatures from new External Database [Name: C:\DOCUME~1\grebi\LOCALS~1\temp\spydb.avs, Size: 898852]...
27 III 2009 07:52:00 - Indexed Spyware Databases Successfully Created...

27 III 2009 07:53:05 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{D2129738-6A78-4BCB-915A-412982CAA23D})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with YahooSpyMon Spyware/Adware (HKEY_CLASSES_ROOT\interface\{4340DF8E-D7A3-4675-BE74-80077B2B3E81})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459A91BC-193F-4A70-959C-BFF69D781142})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE})! Action taken: Ponecháno, neodstraněno!.
27 III 2009 07:53:06 - Offending Key found: HKCU\Software\Kazaa !!!
27 III 2009 07:53:06 - Objekt "kazaa Spyware/Adware" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:06 - Offending file found: C:\WINNT\iun6002.exe
27 III 2009 07:53:06 - System found infected with Spyware.NetScreenWatch Spyware/Adware (iun6002.exe)! Action taken: Ponecháno, neodstraněno!.

27 III 2009 07:53:06 - Offending Folder found: C:\Documents and Settings\grebi\Data aplikací\ICQ\BART\1024
27 III 2009 07:53:06 - Objekt "SmitFraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:10 - Offending Registry Entry found: HKCU\Software\Microsoft\OLE
27 III 2009 07:53:10 - System found infected with Backdoor (IRCBot) Trojans Spyware/Adware (HKCU\Software\Microsoft\OLE)! Action taken: Ponecháno, neodstraněno!.

27 III 2009 07:53:11 - Offending Registry Entry found: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
27 III 2009 07:53:11 - System found infected with Spyware.ExpressKeylog Corrupted Adware/Spyware (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations)! Action taken: Ponecháno, neodstraněno!.

27 III 2009 07:53:11 - Offending Registry Entry found: HKLM\SOFTWARE\Knight
27 III 2009 07:53:11 - System found infected with DiskKnight Adware (HKLM\SOFTWARE\Knight)! Action taken: Ponecháno, neodstraněno!.

27 III 2009 07:53:11 - Offending Registry Entry found: HKCU\Software\Microsoft\Windows\CurrentVersion\Drivers
27 III 2009 07:53:11 - System found infected with AntiSpyware Pro XP Corrupted Adware/Spyware (HKCU\Software\Microsoft\Windows\CurrentVersion\Drivers)! Action taken: Ponecháno, neodstraněno!.

27 III 2009 07:53:11 - Offending Registry Entry found: HKCU\Software\Mirabilis
27 III 2009 07:53:11 - System found infected with PersonalAntispy Corrupted Adware/Spyware (HKCU\Software\Mirabilis)! Action taken: Ponecháno, neodstraněno!.

27 III 2009 07:53:11 - Offending Registry Entry found: HKCU\Software\AVS
27 III 2009 07:53:11 - System found infected with Antivirus Sentry Corrupted Adware/Spyware (HKCU\Software\AVS)! Action taken: Ponecháno, neodstraněno!.


27 III 2009 07:53:11 - Testování MountPoints2 RegKey...
27 III 2009 07:53:11 - Testování CLSID RegKey...
27 III 2009 07:53:12 - Záznam "HKCR\AcroExch.Document.7" odkazuje na neplatný objekt "{B801CA65-A1FC-11D0-85AD-444553540000}". Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:12 - Záznam "HKCR\AcroExch.XDPDoc" odkazuje na neplatný objekt "{B801CA65-A1FC-11D0-85AD-444553540000}". Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:12 - Záznam "HKCR\MSInfo.Document" odkazuje na neplatný objekt "{45ac8c63-23e2-11d1-a696-00c04fd58bc3}". Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:13 - Záznam "HKCR\WMP.Device" odkazuje na neplatný objekt "{94E03510-31B9-47a0-A44E-E932AC86BB17}". Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:13 - Záznam "HKCR\WMP.Device.1" odkazuje na neplatný objekt "{94E03510-31B9-47a0-A44E-E932AC86BB17}". Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:13 - Záznam "HKCR\WMPNSSCI.NSSManager" odkazuje na neplatný objekt "{92498132-4d1a-4297-9b78-9e2e4ba99c07}". Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:13 - Záznam "HKCR\WMPNSSCI.NSSManager.1" odkazuje na neplatný objekt "{92498132-4d1a-4297-9b78-9e2e4ba99c07}". Provedené akce: Ponecháno, neodstraněno!.

27 III 2009 07:53:13 - Testování ModuleUsage RegKey...
27 III 2009 07:53:13 - Testování ExternalApp RegKey...
27 III 2009 07:53:13 - Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt ""E:\data\cdw32.exe"". Provedené akce: Ponecháno, neodstraněno!.




27 III 2009 07:53:16 - ***** Testování souborů ve složce System32 *****
27 III 2009 07:53:41 - Testování souboru C:\WINNT\system32\Dvbpws.dll (????)
27 III 2009 07:53:41 - Soubor C:\WINNT\system32\Dvbpws.dll je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.


27 III 2009 07:57:49 - Testování souboru C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3SZJ4NIB\pqpsj[1].gif
27 III 2009 07:57:50 - Soubor C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3SZJ4NIB\pqpsj[1].gif je infikovaný virem Win32.Worm.Downadup.Gen (DB) !! Provedené akce: Smazáno!.


27 III 2009 08:23:27 - Testování souboru C:\WINNT\system32\Dvbpws.dll (????)
27 III 2009 08:23:28 - Soubor C:\WINNT\system32\Dvbpws.dll je infikovaný virem Exe.Corrupted !! Provedené akce: Smazáno!.



27 III 2009 08:51:16 - ***** Kontrola pro specifické ITW viry *****

27 III 2009 08:51:20 - ***** Test dokončen *****

27 III 2009 08:51:20 - Testovaných objektů: 153965
27 III 2009 08:51:20 - Kritických objektů: 24
27 III 2009 08:51:20 - Celkem vyléčených objektů: 0
27 III 2009 08:51:20 - Celkem přejmenováno: 0
27 III 2009 08:51:20 - Smazaných objektů: 2
27 III 2009 08:51:20 - Celkem chyb: 15
27 III 2009 08:51:20 - Uplynulý čas: 00:45:13
27 III 2009 08:51:20 - Datum vydání databáze: 17 Mar 2009
27 III 2009 08:51:20 - Verze virové databáze: 2796707

27 III 2009 08:51:20 - Test je dokončen

[Reklama]

[lugr]

JO A TADY JE TEN SLIBOVANÝ hijack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:52:32, on 27.3.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
C:\Program Files\WinFast\WFDTV\WFWIZ.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\luboš\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINNT\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Program Files\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\přehrávače\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinFastDTV] C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFDTV\WFWIZ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6192133406
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/G ... meHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FB91352-197D-4C9D-AAA2-443CEFF416C1}: NameServer = 217.112.162.34 217.112.160.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6322 bytes

[jaro3]

Nejprve toto:
Stáhni si :Dr. Web CureIt
dej update , po aktualizaci dej start.
Tlacitky dole muzeš soubor léčit, smazat, přesunout nebo přejmenovat
*****************************************************************************************************************************************
Vypni rez. ochranu u Avastu.
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[lugr]

tak projel jsem to tím doktorem -nic nenašel
asi trochu pomohl už i ten sken od MWAV který cosi odstranil
zatím se mi další varovné hlášky z avastu neopakují

no a tady je ten log z combofix, cosi mazal ale já se vtom moc nevyznám
ináč díky že mi pomáháš

ComboFix 09-03-28.06 - grebi 2009-03-29 21:06:25.6 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.2047.1320 [GMT 2:00]
Spuštěný z: c:\documents and settings\grebi\Plocha\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090326-0] *On-access scanning disabled* (Updated)
* Vytvořen nový Bod Obnovení
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\regedit.com
c:\winnt\system32\Dvbpws.dll
c:\winnt\system32\taskmgr.com

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-02-28 do 2009-03-29 )))))))))))))))))))))))))))))))
.

2009-03-29 21:00 . 2009-03-29 21:00 <DIR> d-------- c:\documents and settings\grebi\DoctorWeb
2009-03-26 21:15 . 2009-03-26 21:15 <DIR> d-------- c:\program files\Common Files\MicroWorld
2009-03-26 21:15 . 2009-03-26 21:15 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MicroWorld
2009-03-26 21:15 . 2009-03-26 21:15 626,688 --a------ c:\winnt\system32\msvcr80.dll
2009-03-26 21:15 . 2009-03-26 21:15 548,864 --a------ c:\winnt\system32\msvcp80.dll
2009-03-26 21:15 . 2009-03-26 21:15 28,672 --a------ c:\winnt\system32\eEmpty.exe
2009-03-26 21:15 . 2005-09-23 00:22 522 --a------ c:\winnt\system32\Microsoft.VC80.CRT.manifest
2009-03-26 20:50 . 2009-03-26 20:50 <DIR> d-a------ c:\winnt\system32\runouce.exe
2009-03-26 19:51 . 2004-08-17 16:49 147,968 --a------ c:\winnt\R.COM
2009-03-26 19:51 . 2004-08-17 16:49 137,216 --a------ c:\winnt\system32\T.COM
2009-03-26 19:51 . 2009-03-27 08:47 54 --a------ c:\winnt\Lic.xxx
2009-03-23 17:39 . 2009-03-23 17:39 <DIR> d-------- c:\winnt\Sun

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-26 17:16 --------- d-----w c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2009-03-26 16:32 --------- d-----w c:\program files\GetRight
2009-03-25 19:14 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-20 15:53 --------- d-----w c:\documents and settings\grebi\Data aplikací\XnView
2009-03-19 16:40 --------- d-----w c:\program files\ICQ6
2009-02-21 12:13 --------- d-----w c:\program files\WinFast
2009-02-21 12:09 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-21 11:55 --------- d-----w c:\program files\Windows Media Connect 2
2009-02-21 11:26 --------- d-----w c:\program files\přehrávače
2009-02-17 09:50 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-16 13:49 --------- d-----w c:\program files\Microsoft Games for Windows - LIVE
2009-02-16 10:48 --------- d-----w c:\program files\Common Files\lightning group shared files
2009-02-16 08:50 271,360 ----a-w c:\winnt\system32\drivers\atksgt.sys
2009-02-16 08:50 18,048 ----a-w c:\winnt\system32\drivers\lirsgt.sys
2009-02-11 09:19 38,496 ----a-w c:\winnt\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\winnt\system32\drivers\mbam.sys
2009-02-09 18:56 67,584 ----a-w c:\winnt\system32\ff_vfw.dll
2008-08-17 09:54 20,500 ----a-w c:\documents and settings\grebi\FMCodec.dat
2007-10-26 15:01 271 --sh--w c:\program files\desktop.ini
2007-10-26 15:01 22,034 ---h--w c:\program files\folder.htt
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\ctfmon.exe" [2004-08-17 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="c:\winnt\System32\JMRaidTool.exe" [2006-08-14 352256]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"amd_dc_opt"="c:\program files\AMD\amd_dc_opt\amd_dc_opt.exe" [2006-06-28 106496]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-09-26 872448]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"QuickTime Task"="c:\program files\přehrávače\QuickTime\qttask.exe" [2009-01-04 98304]
"WinFastDTV"="c:\program files\WinFast\WFDTV\DTVSchdl.exe" [2007-10-09 90112]
"WinFast Schedule"="c:\program files\WinFast\WFDTV\WFWIZ.exe" [2007-10-01 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2004-08-17 215552]
"tscuninstall"="c:\winnt\system32\tscupgrd.exe" [2004-08-17 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
"Launch Ai Booster"="c:\program files\ASUS\AI Booster\OverClk.exe"
"QuickTime Task"="c:\program files\přehrávače\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3999:TCP"= 3999:TCP:WWW

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [2008-04-04 114768]
R1 wfcxacap;WinFast TV PCI Audio Capture Driver;c:\winnt\system32\drivers\wfcxacap.sys [2009-02-21 9856]
R2 aswFsBlk;aswFsBlk;c:\winnt\system32\drivers\aswFsBlk.sys [2008-04-04 20560]
R2 nxsIO32;NextSensor Kernel I/O Driver;c:\winnt\system32\drivers\nxsIO32.sys [2008-01-25 2208]
R2 wfcxatun;WinFast TV Analog Tuner Driver;c:\winnt\system32\drivers\wfcxatun.sys [2009-02-21 31744]
R2 WFCXVCAP;WinFast TV Video Capture Driver;c:\winnt\system32\drivers\wfcxvcap.sys [2009-02-21 167040]
R3 AmdTools;AMD Special Tools Driver;c:\winnt\system32\drivers\AmdTools.sys [2008-03-07 31744]
R3 wfcxdtun;WinFast DTV BDA Tuner/Demod Driver;c:\winnt\system32\drivers\wfcxdtun.sys [2009-02-21 21248]
R3 wfcxtcap;WinFast DTV BDA Transport Stream Capture Driver;c:\winnt\system32\drivers\wfcxtcap.sys [2009-02-21 15872]
R3 wfcxxbar;WinFast TV Crossbar Driver;c:\winnt\system32\drivers\wfcxxbar.sys [2009-02-21 10368]
R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFDTV\WFIOCTL.sys [2009-02-21 9446]
S3 ALSysIO;ALSysIO;\??\c:\docume~1\grebi\LOCALS~1\Temp\ALSysIO.sys --> c:\docume~1\grebi\LOCALS~1\Temp\ALSysIO.sys [?]
S3 atidgllk;atidgllk;\??\c:\documents and settings\grebi\Plocha\Downloads\Nová složka\Nová složka\atidgllk.sys --> c:\documents and settings\grebi\Plocha\Downloads\Nová složka\Nová složka\atidgllk.sys [?]
S3 usbhub20;Podpora kořenového rozbočovač rozbočovače sběrnice USB 2.0;c:\winnt\system32\drivers\usbhub20.sys [2007-10-26 49776]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - DwShield00006FB0
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: Download with GetRight - c:\program files\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\program files\GetRight\GRbrowse.htm
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 21:07:14
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1708537768-688789844-725345543-1000\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(480)
c:\winnt\system32\Ati2evxx.dll
.
Celkový čas: 2009-03-29 21:08:19
ComboFix-quarantined-files.txt 2009-03-29 19:08:18

Před spuštěním: 9 315 938 304
Po spuštění: 9,304,440,832

139

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\winnt\system32\runouce.exe
c:\program files\desktop.ini
c:\program files\folder.htt

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000000


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Zítra se podívám.

[lugr]

ComboFix 09-03-28.06 - grebi 2009-03-29 22:22:48.7 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.2047.1300 [GMT 2:00]
Spuštěný z: c:\documents and settings\grebi\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\grebi\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090326-0] *On-access scanning disabled* (Updated)
* Vytvořen nový Bod Obnovení

FILE ::
c:\program files\desktop.ini
c:\program files\folder.htt
c:\winnt\system32\runouce.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\desktop.ini
c:\program files\folder.htt
c:\winnt\regedit.com
c:\winnt\system32\Dvbpws.dll
c:\winnt\system32\taskmgr.com

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-02-28 do 2009-03-29 )))))))))))))))))))))))))))))))
.

2009-03-29 21:00 . 2009-03-29 21:00 <DIR> d-------- c:\documents and settings\grebi\DoctorWeb
2009-03-26 21:15 . 2009-03-26 21:15 <DIR> d-------- c:\program files\Common Files\MicroWorld
2009-03-26 21:15 . 2009-03-26 21:15 <DIR> d-------- c:\documents and settings\All Users\Data aplikací\MicroWorld
2009-03-26 21:15 . 2009-03-26 21:15 626,688 --a------ c:\winnt\system32\msvcr80.dll
2009-03-26 21:15 . 2009-03-26 21:15 548,864 --a------ c:\winnt\system32\msvcp80.dll
2009-03-26 21:15 . 2009-03-26 21:15 28,672 --a------ c:\winnt\system32\eEmpty.exe
2009-03-26 21:15 . 2005-09-23 00:22 522 --a------ c:\winnt\system32\Microsoft.VC80.CRT.manifest
2009-03-26 20:50 . 2009-03-26 20:50 <DIR> d-a------ c:\winnt\system32\runouce.exe
2009-03-26 19:51 . 2004-08-17 16:49 147,968 --a------ c:\winnt\R.COM
2009-03-26 19:51 . 2004-08-17 16:49 137,216 --a------ c:\winnt\system32\T.COM
2009-03-26 19:51 . 2009-03-29 21:24 54 --a------ c:\winnt\Lic.xxx
2009-03-23 17:39 . 2009-03-23 17:39 <DIR> d-------- c:\winnt\Sun

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-26 17:16 --------- d-----w c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2009-03-26 16:32 --------- d-----w c:\program files\GetRight
2009-03-25 19:14 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-20 15:53 --------- d-----w c:\documents and settings\grebi\Data aplikací\XnView
2009-03-19 16:40 --------- d-----w c:\program files\ICQ6
2009-02-21 12:13 --------- d-----w c:\program files\WinFast
2009-02-21 12:09 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-21 11:55 --------- d-----w c:\program files\Windows Media Connect 2
2009-02-21 11:26 --------- d-----w c:\program files\přehrávače
2009-02-17 09:50 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-16 13:49 --------- d-----w c:\program files\Microsoft Games for Windows - LIVE
2009-02-16 10:48 --------- d-----w c:\program files\Common Files\lightning group shared files
2009-02-16 08:50 271,360 ----a-w c:\winnt\system32\drivers\atksgt.sys
2009-02-16 08:50 18,048 ----a-w c:\winnt\system32\drivers\lirsgt.sys
2009-02-11 09:19 38,496 ----a-w c:\winnt\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\winnt\system32\drivers\mbam.sys
2009-02-09 18:56 67,584 ----a-w c:\winnt\system32\ff_vfw.dll
2008-08-17 09:54 20,500 ----a-w c:\documents and settings\grebi\FMCodec.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\ctfmon.exe" [2004-08-17 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="c:\winnt\System32\JMRaidTool.exe" [2006-08-14 352256]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"amd_dc_opt"="c:\program files\AMD\amd_dc_opt\amd_dc_opt.exe" [2006-06-28 106496]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-09-26 872448]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"QuickTime Task"="c:\program files\přehrávače\QuickTime\qttask.exe" [2009-01-04 98304]
"WinFastDTV"="c:\program files\WinFast\WFDTV\DTVSchdl.exe" [2007-10-09 90112]
"WinFast Schedule"="c:\program files\WinFast\WFDTV\WFWIZ.exe" [2007-10-01 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2004-08-17 215552]
"tscuninstall"="c:\winnt\system32\tscupgrd.exe" [2004-08-17 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
"Launch Ai Booster"="c:\program files\ASUS\AI Booster\OverClk.exe"
"QuickTime Task"="c:\program files\přehrávače\QuickTime\qttask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3999:TCP"= 3999:TCP:WWW

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [2008-04-04 114768]
R1 wfcxacap;WinFast TV PCI Audio Capture Driver;c:\winnt\system32\drivers\wfcxacap.sys [2009-02-21 9856]
R2 aswFsBlk;aswFsBlk;c:\winnt\system32\drivers\aswFsBlk.sys [2008-04-04 20560]
R2 nxsIO32;NextSensor Kernel I/O Driver;c:\winnt\system32\drivers\nxsIO32.sys [2008-01-25 2208]
R2 wfcxatun;WinFast TV Analog Tuner Driver;c:\winnt\system32\drivers\wfcxatun.sys [2009-02-21 31744]
R2 WFCXVCAP;WinFast TV Video Capture Driver;c:\winnt\system32\drivers\wfcxvcap.sys [2009-02-21 167040]
R3 AmdTools;AMD Special Tools Driver;c:\winnt\system32\drivers\AmdTools.sys [2008-03-07 31744]
R3 wfcxdtun;WinFast DTV BDA Tuner/Demod Driver;c:\winnt\system32\drivers\wfcxdtun.sys [2009-02-21 21248]
R3 wfcxtcap;WinFast DTV BDA Transport Stream Capture Driver;c:\winnt\system32\drivers\wfcxtcap.sys [2009-02-21 15872]
R3 wfcxxbar;WinFast TV Crossbar Driver;c:\winnt\system32\drivers\wfcxxbar.sys [2009-02-21 10368]
R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFDTV\WFIOCTL.sys [2009-02-21 9446]
S3 ALSysIO;ALSysIO;\??\c:\docume~1\grebi\LOCALS~1\Temp\ALSysIO.sys --> c:\docume~1\grebi\LOCALS~1\Temp\ALSysIO.sys [?]
S3 atidgllk;atidgllk;\??\c:\documents and settings\grebi\Plocha\Downloads\Nová složka\Nová složka\atidgllk.sys --> c:\documents and settings\grebi\Plocha\Downloads\Nová složka\Nová složka\atidgllk.sys [?]
S3 usbhub20;Podpora kořenového rozbočovač rozbočovače sběrnice USB 2.0;c:\winnt\system32\drivers\usbhub20.sys [2007-10-26 49776]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - DwShield00006FB0
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: Download with GetRight - c:\program files\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\program files\GetRight\GRbrowse.htm
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 22:23:34
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1708537768-688789844-725345543-1000\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(480)
c:\winnt\system32\Ati2evxx.dll
.
Celkový čas: 2009-03-29 22:24:37
ComboFix-quarantined-files.txt 2009-03-29 20:24:35
ComboFix2.txt 2009-03-29 19:08:20

Před spuštěním: 9 167 769 600
Po spuštění: 9,263,394,816

143

tak a tady je hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:15, on 29.3.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\imapi.exe
C:\WINNT\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\All Users\Nabídka Start\Programy\WinFast PVR2\WFWIZ.exe
D:\luboš\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINNT\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Program Files\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\přehrávače\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinFastDTV] C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFDTV\WFWIZ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6192133406
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/G ... meHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FB91352-197D-4C9D-AAA2-443CEFF416C1}: NameServer = 217.112.162.34 217.112.160.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6406 bytes



ješte skusím projet komp mwav skenrem ale to až zítra

[jaro3]

Stáhni si program OTMoveIt3 (by OldTimer) a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services

:Reg

:Files
c:\winnt\system32\runouce.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:

Kód: Vybrat vše

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"    
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\přehrávače\QuickTime\qttask.exe" -atboottime

takže jestli nejsou problémy,tak vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš>spustíš

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.
Pokud chceš zachovat svoje uložená hesla, klikni na No.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Múžeš vložit co najde MVAW.

[lugr]

tak jsem to projel těma čističema a tady je výsledek:


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
c:\winnt\system32\runouce.exe moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINNT\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINNT\temp\Perflib_Perfdata_408.dat scheduled to be deleted on reboot.
File delete failed. C:\WINNT\temp\Perflib_Perfdata_518.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03302009_134219

Files moved on Reboot...
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
File C:\WINNT\temp\_avast4_\Webshlock.txt not found!
File move failed. C:\WINNT\temp\Perflib_Perfdata_408.dat scheduled to be moved on reboot.
File C:\WINNT\temp\Perflib_Perfdata_518.dat not found!



nový log z hijaku:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:58, on 30.3.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
C:\Program Files\WinFast\WFDTV\WFWIZ.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\luboš\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINNT\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Program Files\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [WinFastDTV] C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFDTV\WFWIZ.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6192133406
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/G ... meHost.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6097 bytes



a ještě jsem dal sken mwav:
ten opět našel soubor Dvbpws.dll
tak nevím jestli je to vir
na http://www.virustotal.com mi tento soubor neoznačil jako vir ani jeden antivir(0/40)
a na http://virusscan.jotti.org/ mi tento soubor neoznačil jako vir ani jeden antivir

MWAV sken mi označil dvě položky ale jsou stejné asi proto že je testoval dvakrát ,dal jsem sken celého systémového disku C:


30 III 2009 14:18:27 - **********************************************************
30 III 2009 14:18:27 - eScan Anti Virus & Spyware Toolkit Utility.
30 III 2009 14:18:27 - Copyright © 2003-2006, MicroWorld Technologies Inc.
30 III 2009 14:18:27 - **********************************************************
30 III 2009 14:18:27 - Source: D:\programy\mwav.exe
30 III 2009 14:18:27 - Verze 11.0.37 (C:\DOCUMENTS AND SETTINGS\GREBI\LOCAL SETTINGS\TEMP\MEXE.COM)
30 III 2009 14:18:27 - Log soubor: C:\Documents and Settings\grebi\Local Settings\temp\MWAV.LOG
30 III 2009 14:18:27 - Datum a čas posledního testu: 29.03.2009 21:29:33
30 III 2009 14:18:27 - MWAV Registered: FALSE
30 III 2009 14:18:27 - User Account: grebi (Administrator Mode)
30 III 2009 14:18:27 - OS Type: Windows Workstation
30 III 2009 14:18:27 - OS: Windows XP [OS Install Date: 26 Oct 2007 17:51:10]
30 III 2009 14:18:27 - Ver: Service Pack 2 (Build 2600)
30 III 2009 14:18:27 - System Up Time: 34 Minutes, 48 Seconds
30 III 2009 14:18:27 - Parent Process Name : D:\programy\mwav.exe
30 III 2009 14:18:27 - Windows Root Folder: C:\WINNT
30 III 2009 14:18:27 - Windows Sys32 Folder: C:\WINNT\system32
30 III 2009 14:18:27 - Interface0 NameServer: 217.112.162.34 217.112.160.1
30 III 2009 14:18:27 - Local Fixed Drives: c:\,d:\,e:\
30 III 2009 14:18:27 - MWAV Mode: Only Scan files
30 III 2009 14:18:27 - [CREATED ZIP FILE: C:\Documents and Settings\grebi\Local Settings\temp\pinfect.zip]

30 III 2009 14:18:27 - ********** Soubory vytvořené/upravené ve složce Windows a kořenovém adresáři od posledního testu **********
30 III 2009 14:18:28 - C:\WINNT\system32\Dvbpws.dll (2), 30-Mar-2009 [Added C:\WINNT\system32\Dvbpws.dll to ZIP FILE]
30 III 2009 14:18:28 - C:\WINNT\system32\eEmpty.exe (28672), 26-Mar-2009, MicroWorld Technologies Inc., eScan For Windows

30 III 2009 14:18:28 - C:\WINNT\$hf_mig$, 27-Nov-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\$MSI30UninstallMSI30-KB884016$, 28-Oct-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\$NtServicePackUninstallIDNMitigationAPIs$, 29-Dec-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\$NtServicePackUninstallNLSDownlevelMapping$, 29-Dec-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\$NtUninstallMSCompPackV1$, 21-Feb-2009 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\$NtUninstallWIC$, 07-Nov-2008 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\$NtUninstallWMFDist11$, 21-Feb-2009 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\$NtUninstallWudf01000$, 21-Feb-2009 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\Fonts, 26-Oct-2007 [SR] [Složky]
30 III 2009 14:18:28 - C:\WINNT\ie7, 29-Dec-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\inf, 26-Oct-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\WINNT\Sun, 23-Mar-2009 [Složky]
30 III 2009 14:18:28 - C:\WINNT\system32\CatRoot_bak, 30-Mar-2009 [Složky]
30 III 2009 14:18:28 - C:\WINNT\system32\dllcache, 26-Oct-2007 [HSR] [Složky]
30 III 2009 14:18:28 - C:\WINNT\system32\GroupPolicy, 26-Oct-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\cmdcons, 09-Dec-2008 [HSR] [Složky]
30 III 2009 14:18:28 - C:\Documents and Settings, 26-Oct-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\Program Files\WindowsUpdate, 26-Oct-2007 [H] [Složky]
30 III 2009 14:18:28 - C:\Program Files\Common Files\MicroWorld, 26-Mar-2009 [Složky]

30 III 2009 14:18:28 - *********************************************************************************************

30 III 2009 14:18:29 - Loading/Creating FileScan Database C:\Documents and Settings\All Users\Data aplikací\MicroWorld\MWAV\MWAVDBX.MDB [Log: C:\DOCUME~1\grebi\LOCALS~1\temp\MWAVDB.LOG]
30 III 2009 14:18:30 - Loaded/Created FileScan Database...
30 III 2009 14:18:30 - Loading AV Library [DB]...
30 III 2009 14:18:35 - AV Library Loaded [DB-DIRECT].
30 III 2009 14:18:35 - MWAV doing self scanning...
30 III 2009 14:18:35 - Testování souboru C:\Documents and Settings\grebi\Local Settings\temp\avxdisk.dll
30 III 2009 14:18:35 - Testování souboru C:\Documents and Settings\grebi\Local Settings\temp\scan.dll (????)
30 III 2009 14:18:35 - Testování souboru C:\Documents and Settings\grebi\Local Settings\temp\bdcore.dll (????)
30 III 2009 14:18:35 - Testování souboru C:\Documents and Settings\grebi\Local Settings\temp\bdupdateservice.dll
30 III 2009 14:18:35 - MWAV files are clean.
30 III 2009 14:18:42 - Datum vydání databáze: 17 Mar 2009
30 III 2009 14:18:42 - Verze virové databáze: 2796707
30 III 2009 14:18:55 - Stahování Antivirus a Antispyware databází...
30 III 2009 14:20:46 - Stahování nebylo dokončeno!
30 III 2009 14:20:57 - Stahování Antivirus a Antispyware databází...
30 III 2009 14:22:55 - Stahování dokončeno...
30 III 2009 14:22:59 - Indexed Spyware Databases Successfully Created...
30 III 2009 14:23:06 - Nahrávání antivirových signatur úspěšné.
30 III 2009 14:23:06 - Datum vydání databáze: 30 Mar 2009
30 III 2009 14:23:06 - Verze virové databáze: 2816032

30 III 2009 14:25:46 - **********************************************************
30 III 2009 14:25:46 - eScan Anti Virus & Spyware Toolkit Utility.
30 III 2009 14:25:46 - Copyright © 2003-2006, MicroWorld Technologies Inc.
30 III 2009 14:25:46 -
30 III 2009 14:25:46 - Podpora [EN]: support@mwti.net
30 III 2009 14:25:46 - Web: http://www.mwti.net
30 III 2009 14:25:46 - **********************************************************
30 III 2009 14:25:46 - Verze 11.0.37[DB] (C:\DOCUMENTS AND SETTINGS\GREBI\LOCAL SETTINGS\TEMP\MEXE.COM)
30 III 2009 14:25:46 - Log soubor: C:\Documents and Settings\grebi\Local Settings\temp\MWAV.LOG
30 III 2009 14:25:46 - User Account: grebi
30 III 2009 14:25:46 - Parent Process Name : D:\programy\mwav.exe
30 III 2009 14:25:46 - Windows Root Folder: C:\WINNT
30 III 2009 14:25:46 - Windows Sys32 Folder: C:\WINNT\system32
30 III 2009 14:25:46 - OS: Windows XP [OS Install Date: 26 Oct 2007 17:51:10]
30 III 2009 14:25:46 - Ver: Service Pack 2 (Build 2600)

30 III 2009 14:25:46 - Nastavení vybraná uživatelem:
30 III 2009 14:25:46 - Kontrola paměti: Zapnuto
30 III 2009 14:25:46 - Kontorla registrů: Zapnuto
30 III 2009 14:25:46 - Kontrola souborů po spuštění: Zapnuto
30 III 2009 14:25:46 - Kontrola systémových složek: Zapnuto
30 III 2009 14:25:46 - Kontrola služeb: Zapnuto
30 III 2009 14:25:46 - Otestovat Spyware: Vypnuto
30 III 2009 14:25:46 - Kotrola disku: Zapnuto
30 III 2009 14:25:46 - Kontrola všech disků:Vypnuto
30 III 2009 14:25:46 - Vybrat disk = C:\
30 III 2009 14:25:46 - Kontrola složek: Vypnuto
30 III 2009 14:25:46 - SCAN: All_Files




30 III 2009 14:26:40 - ***** Testování souborů ve složce System32 *****
30 III 2009 14:27:06 - Testování souboru C:\WINNT\system32\Dvbpws.dll (????)
30 III 2009 14:27:14 - Soubor C:\WINNT\system32\Dvbpws.dll je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.


30 III 2009 14:54:58 - Testování souboru C:\WINNT\system32\Dvbpws.dll (????)
30 III 2009 14:54:58 - Soubor C:\WINNT\system32\Dvbpws.dll je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.



30 III 2009 14:56:44 - ***** Kontrola pro specifické ITW viry *****

30 III 2009 14:56:48 - ***** Test dokončen *****

30 III 2009 14:56:48 - Testovaných objektů: 52444
30 III 2009 14:56:48 - Kritických objektů: 2
30 III 2009 14:56:48 - Celkem vyléčených objektů: 0
30 III 2009 14:56:48 - Celkem přejmenováno: 0
30 III 2009 14:56:48 - Smazaných objektů: 0
30 III 2009 14:56:48 - Celkem chyb: 7
30 III 2009 14:56:48 - Uplynulý čas: 00:23:16
30 III 2009 14:56:48 - Datum vydání databáze: 30 Mar 2009
30 III 2009 14:56:48 - Verze virové databáze: 2816032

30 III 2009 14:56:48 - Test je dokončen

[jaro3]

Spusť F-Secure Online Scanner z některého odkazu.
http://support.f-secure.com/enu/home/ols.shtml
http://support.f-secure.com/enu/home/ols3.shtml#

Tento skener je možno použít jen v prohlížeči Internet Explorer! Postupuj podle instrukcí na stránce F-Secure pro správnou instalaci. Akceptuj licenci. Po instalaci ActiveX, klikni na Full System Scan. Když stahování skončeno, automaticky začne sken . Vyčkej konce skenu, po jeho dobu neprováděj jiné operace ani neklikej myší. Když skončí sken klikni na tlačítko Automatic clearing (recommended). Poté klikni na tlačítko Show Report a zkopíruj a vlož sem .

Poté:
Stáhni si GMER
Po stažení aplikaci rozbal a spusť, probehne rychlý sken a otevře se hlavní okno programu:
pokud klikneš na tlačítko Save vpravo dole, muzeš vyexportovat první log, ktery vloziš sem.
Abychom se dostali k "hlavnímu" skenu a získaní logu z něj, ponechame v pravem sloupci zafajfkovane vsechny polozky a klikneme na tlacitko Scan
Vyčkej konce skenu (což trvá tak kolem pěti- deseti minut), pote opět klikni na tlačitko Save a vyexportuj log čislo 2,i tento log vlož sem.

[lugr]

tak jsem spustil ten f-skener
ale pár problémů se vyskytlo už při skenování
avast mi vyhodil během skenování několik upozornění (dal jsem vždy smazat)
tady jsou:
30.3.2009 17:58:42 grebi 124084 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\WINNT\system32\x\[UPX]".
30.3.2009 17:47:38 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\WINNT\System32\x\[UPX]".
30.3.2009 17:47:37 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\WINNT\system32\x\[UPX]".
30.3.2009 17:46:58 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YCE3EMEH\cuzwdl[1].jpg\[UPX]".
30.3.2009 17:36:46 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\WINNT\system32\x".
30.3.2009 17:36:13 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WR3OOQVV\zzqvwd[1].gif".
30.3.2009 17:23:52 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\WINNT\system32\x".
30.3.2009 17:23:38 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GEDOMDWO\wfhm[1].bmp".
30.3.2009 17:19:51 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\WINNT\system32\x".
30.3.2009 17:19:20 SYSTEM 1032 Virus "Win32:Confi [Wrm]" byl nalezen v souboru "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\T75DTSGP\mgysf[1].bmp".



no po skončení f-skenu jsem byl tak zblblý že jsem si log neuložil dal jsem jen finiš a program se zavřel ,je docela možné že žádné problémy nenašel
potom jsem dal sken znovu a tady je druhý log:

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<html>
<font style="COLOR: black; FONT: 10pt verdana">
<head>
<title>F-Secure Online Scanner 3.3.1 - Scanning Report - Monday, March 30, 2009 18:45:35</title>
</head>

<body>
<h1><font face="Arial">Scanning Report</font></h1>
<h2><font face="Arial">Monday, March 30, 2009 18:03:36 - 18:45:31</font></h2>
<p>
Computer name: SKRCEK
<br>Scanning type: Scan system for malware, rootkits
<br>Target: C:\ D:\ E:\
</p>
<hr noshade>
<h2><font face="Arial" color="#5A6ED2">Result: 0 malware found</font></h2>
<hr noshade>
<h2><font face="Arial" color="#5A6ED2">Statistics</font></h2>
Scanned:<ul>
<li>Files: 25446
<li>System: 4320
<li>Not scanned: 9
</ul>
Actions:<ul>
<li>Disinfected: 0
<li>Renamed: 0
<li>Deleted: 0
<li>None: 0
<li>Submitted: 0
</ul>
Files not scanned:<ul>
<li>C:\HIBERFIL.SYS
<li>C:\PAGEFILE.SYS
<li>C:\WINNT\SYSTEM32\CONFIG\DEFAULT
<li>C:\WINNT\SYSTEM32\CONFIG\SAM
<li>C:\WINNT\SYSTEM32\CONFIG\SECURITY
<li>C:\WINNT\SYSTEM32\CONFIG\SOFTWARE
<li>C:\WINNT\SYSTEM32\CONFIG\SYSTEM
<li>C:\WINNT\SYSTEM32\CATROOT2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATDB
<li>C:\WINNT\SOFTWAREDISTRIBUTION\DOWNLOAD\B8F61BF80D61D8A4CE0E4D02C389EC84\BACKUP\BTHPAN.SYS

</ul>
<hr noshade>
<h2><font face="Arial" color="#5A6ED2">Options</font></h2>
Scanning engines:<ul>
<li>F-Secure USS: 3.0.0
<li>F-Secure Hydra: 3.8.9080, 2009-03-30
<li>F-Secure AVP: 7.0.171, 2009-03-30
<li>F-Secure Pegasus: 1.20.0, 1970-00-01
<li>F-Secure Blacklight: 0.0.0

</ul>
Scanning options:<ul>
<li>Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
<li>
Use Advanced heuristics
</ul>
<hr noshade>
<ul><h6>Copyright &copy; 1998-2007 <a href="http://support.f-secure.com/">Product support</a> |<a href="http://support.f-secure.com/enu/home/virusproblem/sample/">Send virus sample to F-Secure</a></h6><h6>F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.</h6></ul>
</body>
</font>
</html>


a tady jsou skeny z GMER:
první:
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-03-30 20:01:01
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT spwm.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spwm.sys ZwEnumerateValueKey [0xBA6C7030]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89E3F1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----


druhý:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-03-30 20:24:32
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xAABB16B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xAABB1574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xAABB1A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xAABB114C]
SSDT spwm.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spwm.sys ZwEnumerateValueKey [0xBA6C7030]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xAABB164E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xAABB108C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xAABB10F0]
SSDT spwm.sys ZwQueryKey [0xBA6C7108]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xAABB176E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xAABB172E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xAABB18AE]

INT 0x63 ? 89DD1BF8
INT 0x63 ? 89C62F00
INT 0x63 ? 89C62F00
INT 0x63 ? 89DD1BF8
INT 0x73 ? 89DCEBF8
INT 0x73 ? 89DCEBF8
INT 0x73 ? 89DCEBF8
INT 0x84 ? 89C62F00
INT 0xA4 ? 89C62F00

---- Kernel code sections - GMER 1.0.15 ----

? spwm.sys Systém nemůže nalézt uvedený soubor. !
.text USBPORT.SYS!DllUnload BA1A562C 5 Bytes JMP 89C624E0
.text azlsrzq7.SYS BA0F0386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text azlsrzq7.SYS BA0F03AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text azlsrzq7.SYS BA0F03C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text azlsrzq7.SYS BA0F03C9 1 Byte [2E]
.text azlsrzq7.SYS BA0F03C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spwm.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spwm.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spwm.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spwm.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spwm.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spwm.sys
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!KfAcquireSpinLock] 4B8BDF8B
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!READ_PORT_UCHAR] 8D3F0304
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!KeGetCurrentIrql] CB033043
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!KfRaiseIrql] 0673C13B
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!KfLowerIrql] C13B0003
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!HalGetInterruptVector] 8366FA72
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!HalTranslateBusAddress] 75000E7B
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!KeStallExecutionProcessor] 0B7D80E3
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!KfReleaseSpinLock] 307B8D00
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 00AA840F
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!READ_PORT_USHORT] 83660000
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 6A000E7A
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[HAL.dll!WRITE_PORT_UCHAR] C6647400
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[WMILIB.SYS!WmiSystemControl] 4F8B0200
IAT \SystemRoot\System32\Drivers\azlsrzq7.SYS[WMILIB.SYS!WmiCompleteRequest] 968D5140

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINNT\system32\services.exe[528] @ C:\WINNT\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003C0002
IAT C:\WINNT\system32\services.exe[528] @ C:\WINNT\system32\services.exe [KERNEL32.dll!CreateProcessW] 003C0000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89E3F1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbohci \Device\USBPDO-0 89C26500
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89E411F8
Device \Driver\dmio \Device\DmControl\DmConfig 89E411F8
Device \Driver\dmio \Device\DmControl\DmPnP 89E411F8
Device \Driver\dmio \Device\DmControl\DmInfo 89E411F8
Device \Driver\usbohci \Device\USBPDO-1 89C26500
Device \Driver\usbohci \Device\USBPDO-2 89C26500
Device \Driver\usbohci \Device\USBPDO-3 89C26500
Device \Driver\usbohci \Device\USBPDO-4 89C26500
Device \Driver\PCI_PNP3926 \Device\00000048 spwm.sys

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbehci \Device\USBPDO-5 89C021F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89DCF1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89DCF1F8
Device \Driver\sptd \Device\2843511426 spwm.sys
Device \Driver\Cdrom \Device\CdRom0 89C241F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 89DCF1F8
Device \Driver\Cdrom \Device\CdRom1 89C241F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 89DCE1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89DCE1F8
Device \Driver\atapi \Device\Ide\IdePort0 89DCE1F8
Device \Driver\atapi \Device\Ide\IdePort1 89DCE1F8
Device \Driver\atapi \Device\Ide\IdePort2 89DCE1F8
Device \Driver\atapi \Device\Ide\IdePort3 89DCE1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f 89DCE1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 897401F8
Device \Driver\NetBT \Device\NetbiosSmb 897401F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{B925370D-181F-4727-9D8C-4D0603605E3E} 897401F8

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbohci \Device\USBFDO-0 89C26500
Device \Driver\usbohci \Device\USBFDO-1 89C26500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8973E1F8
Device \Driver\usbohci \Device\USBFDO-2 89C26500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8973E1F8
Device \Driver\usbohci \Device\USBFDO-3 89C26500
Device \Driver\usbohci \Device\USBFDO-4 89C26500
Device \Driver\Ftdisk \Device\FtControl 89DCF1F8
Device \Driver\usbehci \Device\USBFDO-5 89C021F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{1FB91352-197D-4C9D-AAA2-443CEFF416C1} 897401F8
Device \Driver\azlsrzq7 \Device\Scsi\azlsrzq71Port5Path0Target0Lun0 89BF51F8
Device \Driver\JRAID \Device\Scsi\JRAID1 89E401F8
Device \Driver\azlsrzq7 \Device\Scsi\azlsrzq71 89BF51F8
Device \FileSystem\Cdfs \Cdfs 8973D1F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7E 0x9C 0x02 0xE7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE5 0xDF 0x4E 0xC3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x59 0xDB 0x8D 0xF0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7E 0x9C 0x02 0xE7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE5 0xDF 0x4E 0xC3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x59 0xDB 0x8D 0xF0 ...

---- EOF - GMER 1.0.15 ----

[jaro3]

ten log jsem chtěl..dával jsi po skenu F-SECURE klik na Automatic clearing (recommended)?
Koukni se sem:
SystemRoot\System32\Drivers\azlsrzq7.SYS zda je tam ten soubor.

[lugr]

tak jsem hledal soubor - azlsrzq7.SYS -
na disku (v systémpvých i skrytých složkách) ale žádný takový nemám

ta adresa SystemRoot\System32\Drivers\azlsrzq7.SYS
je totožná s adresou ?? C:\WINNT\system32\drivers


ináč po skončení skenu F-secure mi to žádnou možnost dát automaticky clearing nedalo
jen tam byly tlačítka finish a show report , no a steho jsem byl nejaký zmatený a proto jsem tehdy dal finish, páč jsem myslel že teprv potom naskočí nejaké to vyhodnocení ,jenže tím se ten program zavřel
tak bych řek že to nic nenašlo až na 7 položek u Skipped (toho jsem si všim během testování)