Defaultní ikony, prosím o kontrolu logu

[otaznik]

Nějaký čas se mi ve Woknech místo ikonek MS Office, Acrobatu a dalších ukazují pouze defaultní jako pro obyč soubor. Ale např. ikony Open Office jsou v pohodě. Netušíte prosím, jak to vrátit do normálu?

Log z HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:01, on 29.5.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programs\Cobian Backup 8\Cobian.exe
C:\Programs\ESET Smart Security\egui.exe
C:\Programs\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Programs\Xfire\xfire.exe
C:\Programs\Cobian Backup 8\cbInterface.exe
C:\Programs\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Programs\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programs\Azureus\Azureus.exe
C:\Programs\totalcmd\TOTALCMD.EXE
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programs\Mozilla Firefox\firefox.exe
C:\Programs\QIP\qip.exe
C:\Programs\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programs\Acrobat 7\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programs\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Programs\Cobian Backup 8\Cobian.exe"
O4 - HKLM\..\Run: [egui] "C:\Programs\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programs\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programs\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programs\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programs\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programs\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programs\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programs\Acrobat 7\Reader\reader_sl.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programs\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programs\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f ... wflash.cab
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programs\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programs\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programs\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5849 bytes

[Reklama]

[Damned]

V logu vidím jen pár zbytečností. Ty se opraví kdyžtak na konec.
Máš tam MbAm poslední verzi?
Pokud ano tak:
Spusť ho, aktualizuj, a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano (zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[otaznik]

Malwarebytes' Anti-Malware 1.37
Verze databáze: 2193
Windows 5.1.2600 Service Pack 3

30.5.2009 0:19:55
mbam-log-2009-05-30 (00-19-55).txt

Typ skenu: Rychlý sken
Objektu skenováno: 86555
Uplynulý cas: 2 minute(s), 16 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

[guest]

Zkus to opravit pomocí Dial-a-fix, je tam podrobný návod.

[otaznik]

Dial-a-fix jsem vyzkoušel, bohužel ikonky zůstávají (i po restartu) stále stejné.

[Damned]

Zkus to ještě projet ComboFixem:

Vypni rezidentní štít antiviru (pokud máš tak i antispyware).
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[otaznik]

ComboFix 09-05-30.01 - otaznik 30.05.2009 19:51.4 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3327.2861 [GMT 2:00]
Spuštěný z: c:\documents and settings\All Users\Plocha\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-04-28 do 2009-05-30 )))))))))))))))))))))))))))))))
.

2009-05-21 22:51 . 2009-05-21 22:51 41808 ----a-w c:\windows\system32\xfcodec.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-26 11:20 . 2009-01-28 19:18 40160 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2009-01-28 19:18 19096 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 12:11 . 2007-12-07 22:02 -------- d-----w c:\program files\Java
2009-04-26 12:10 . 2002-09-23 12:00 70556 ----a-w c:\windows\system32\perfc005.dat
2009-04-26 12:10 . 2002-09-23 12:00 395062 ----a-w c:\windows\system32\perfh005.dat
2009-04-11 20:37 . 2007-12-06 20:25 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-06 20:29 . 2009-04-06 20:29 -------- d-----w c:\program files\Common Files\Nokia
2009-04-06 20:29 . 2009-04-06 20:29 -------- d-----w c:\program files\Common Files\PCSuite
2009-04-06 20:29 . 2009-04-06 20:29 -------- d-----w c:\program files\DIFX
2009-04-06 20:29 . 2009-04-06 20:29 -------- d-----w c:\program files\PC Connectivity Solution
2009-03-26 21:47 . 2009-02-12 20:57 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-03-09 03:19 . 2009-01-04 23:27 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:23 . 2002-09-23 12:00 284160 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:14 . 2002-09-23 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-03-01 20:00 . 2009-03-12 21:52 60273 ----a-w c:\windows\system32\pthreadGC2.dll
2009-03-01 20:00 . 2008-03-03 21:12 67584 ----a-w c:\windows\system32\ff_vfw.dll
2007-12-20 20:23 . 2007-12-20 20:21 24 --sh--w c:\windows\SAE21D2FE.tmp
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cobian Backup 8"="c:\programs\Cobian Backup 8\Cobian.exe" [2007-09-27 501248]
"egui"="c:\programs\ESET Smart Security\egui.exe" [2008-02-20 1443072]
"QuickTime Task"="c:\programs\QuickTime\qttask.exe" [2009-01-05 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
"PCSuiteTrayApplication"="c:\programs\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-10-06 24576]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-15 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\programs\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\documents and settings\otaznik\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Xfire.lnk - c:\programs\Xfire\xfire.exe [2009-5-22 3171664]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\programs\Acrobat 7\Reader\reader_sl.exe [2005-9-24 29696]
APC UPS Status.lnk - c:\programs\APC PowerChute Personal Edition\Display.exe [2007-6-13 221247]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Call of Duty 4\\iw3mp.exe"=
"c:\\Programs\\QIP\\qip.exe"=
"c:\\Programs\\Xfire\\xfire.exe"=
"c:\\Programs\\Azureus\\Azureus.exe"=
"e:\\Mass Effect\\Binaries\\MassEffect.exe"=
"e:\\Mass Effect\\MassEffectLauncher.exe"=
"c:\\Programs\\ICQ6.5\\ICQ.exe"=
"c:\\Programs\\totalcmd\\TOTALCMD.EXE"=

R2 ekrn;Eset Service;c:\programs\ESET Smart Security\ekrn.exe [20.2.2008 12:08 472320]
S3 aswArKrn;aswArKrn;\??\c:\docume~1\otaznik\LOCALS~1\Temp\aswArKrn.sys --> c:\docume~1\otaznik\LOCALS~1\Temp\aswArKrn.sys [?]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [10.12.2008 16:17 7808]
.
Obsah adresáře 'Naplánované úlohy'

2009-05-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

Notify-AtiExtEvent - (no file)
SafeBoot-procexp90.Sys


.
------- Doplňkový sken -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\otaznik\Data aplikací\Mozilla\Firefox\Profiles\iu4ac7q3.default\
FF - plugin: c:\programs\Acrobat 7\Reader\browser\nppdf32.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin7.dll

---- NASTAVENÍ FIREFOXU ----
c:\programs\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 19:52
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1645522239-1801674531-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:14,ad,3d,9f,d3,0c,62,03,32,f5,cf,99,29,03,41,d1,3b,7a,4b,01,17,44,14,
4e,2b,ef,e3,31,1e,61,90,ab,63,3d,fd,eb,46,d4,9d,4c,7a,a3,ec,02,04,f9,43,fe,\
"??"=hex:5c,f1,83,89,34,2e,c3,29,75,49,0f,ac,fc,c3,b8,aa

[HKEY_USERS\S-1-5-21-1645522239-1801674531-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:ce,31,0d,3f,c8,19,8d,c8,6a,2a,31,25,df,07,c9,d4,b5,e5,8d,1e,1e,
87,51,7d,2e,01,81,d4,b3,71,8c,fd,45,3d,30,34,36,2c,b7,06,9f,fb,e9,43,2e,92,\
"rkeysecu"=hex:de,fd,da,8a,d5,55,5e,93,36,f5,72,bf,bf,77,d5,1c
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(2496)
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2009-05-30 19:53
ComboFix-quarantined-files.txt 2009-05-30 17:53

Před spuštěním: 1 052 119 040
Po spuštění: 1 057 013 760

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
128 --- E O F --- 2009-05-13 06:31

[Damned]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

sc config aswArKrn start= disabled
sc stop aswArKrn
sc delete aswArKrn

ulož si ho na plochu jako-název remove.bat a ulož ho jako typ všechny soubory , najdi na ploše tento soubor , spusť ho poklepáním.
Otevře se Dosovské okno a zavře. Restartuj comp.
*****************************************************************************************************************************************
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

File::
c:\windows\system32\d3d9caps.dat
c:\windows\SAE21D2FE.tmp


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

[otaznik]

ComboFix 09-05-30.01 - otaznik 30.05.2009 23:18.5 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3327.2935 [GMT 2:00]
Spuštěný z: c:\documents and settings\All Users\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\otaznik\Plocha\CFScript.txt
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

FILE ::
"c:\windows\SAE21D2FE.tmp"
"c:\windows\system32\d3d9caps.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SAE21D2FE.tmp
c:\windows\system32\d3d9caps.dat

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-04-28 do 2009-05-30 )))))))))))))))))))))))))))))))
.

2009-05-21 22:51 . 2009-05-21 22:51 41808 ----a-w c:\windows\system32\xfcodec.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-26 11:20 . 2009-01-28 19:18 40160 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2009-01-28 19:18 19096 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 12:11 . 2007-12-07 22:02 -------- d-----w c:\program files\Java
2009-04-26 12:10 . 2002-09-23 12:00 70556 ----a-w c:\windows\system32\perfc005.dat
2009-04-26 12:10 . 2002-09-23 12:00 395062 ----a-w c:\windows\system32\perfh005.dat
2009-04-11 20:37 . 2007-12-06 20:25 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-06 20:29 . 2009-04-06 20:29 -------- d-----w c:\program files\Common Files\Nokia
2009-04-06 20:29 . 2009-04-06 20:29 -------- d-----w c:\program files\Common Files\PCSuite
2009-04-06 20:29 . 2009-04-06 20:29 -------- d-----w c:\program files\DIFX
2009-04-06 20:29 . 2009-04-06 20:29 -------- d-----w c:\program files\PC Connectivity Solution
2009-03-09 03:19 . 2009-01-04 23:27 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:23 . 2002-09-23 12:00 284160 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:14 . 2002-09-23 12:00 826368 ----a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-30_17.52.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-30 21:13 . 2009-05-30 21:13 16384 c:\windows\Temp\Perflib_Perfdata_240.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cobian Backup 8"="c:\programs\Cobian Backup 8\Cobian.exe" [2007-09-27 501248]
"egui"="c:\programs\ESET Smart Security\egui.exe" [2008-02-20 1443072]
"QuickTime Task"="c:\programs\QuickTime\qttask.exe" [2009-01-05 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
"PCSuiteTrayApplication"="c:\programs\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-10-06 24576]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-15 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\programs\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\documents and settings\otaznik\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Xfire.lnk - c:\programs\Xfire\xfire.exe [2009-5-22 3171664]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\programs\Acrobat 7\Reader\reader_sl.exe [2005-9-24 29696]
APC UPS Status.lnk - c:\programs\APC PowerChute Personal Edition\Display.exe [2007-6-13 221247]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Call of Duty 4\\iw3mp.exe"=
"c:\\Programs\\QIP\\qip.exe"=
"c:\\Programs\\Xfire\\xfire.exe"=
"c:\\Programs\\Azureus\\Azureus.exe"=
"e:\\Mass Effect\\Binaries\\MassEffect.exe"=
"e:\\Mass Effect\\MassEffectLauncher.exe"=
"c:\\Programs\\ICQ6.5\\ICQ.exe"=
"c:\\Programs\\totalcmd\\TOTALCMD.EXE"=

R2 ekrn;Eset Service;c:\programs\ESET Smart Security\ekrn.exe [20.2.2008 12:08 472320]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [10.12.2008 16:17 7808]
.
Obsah adresáře 'Naplánované úlohy'

2009-05-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Doplňkový sken -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\otaznik\Data aplikací\Mozilla\Firefox\Profiles\iu4ac7q3.default\
FF - plugin: c:\programs\Acrobat 7\Reader\browser\nppdf32.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programs\QuickTime\Plugins\npqtplugin7.dll

---- NASTAVENÍ FIREFOXU ----
c:\programs\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 23:19
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1645522239-1801674531-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:14,ad,3d,9f,d3,0c,62,03,32,f5,cf,99,29,03,41,d1,3b,7a,4b,01,17,44,14,
4e,2b,ef,e3,31,1e,61,90,ab,63,3d,fd,eb,46,d4,9d,4c,7a,a3,ec,02,04,f9,43,fe,\
"??"=hex:5c,f1,83,89,34,2e,c3,29,75,49,0f,ac,fc,c3,b8,aa

[HKEY_USERS\S-1-5-21-1645522239-1801674531-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:ce,31,0d,3f,c8,19,8d,c8,6a,2a,31,25,df,07,c9,d4,b5,e5,8d,1e,1e,
87,51,7d,2e,01,81,d4,b3,71,8c,fd,45,3d,30,34,36,2c,b7,06,9f,fb,e9,43,2e,92,\
"rkeysecu"=hex:de,fd,da,8a,d5,55,5e,93,36,f5,72,bf,bf,77,d5,1c
.
Celkový čas: 2009-05-30 23:19
ComboFix-quarantined-files.txt 2009-05-30 21:19
ComboFix2.txt 2009-05-30 17:53

Před spuštěním: 1 134 915 584
Po spuštění: 1 114 554 368

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
127 --- E O F --- 2009-05-13 06:31

[Damned]

Šmejdíky jsme odstranili a ještě ten log z HJT ať fixneme zbytečnosti.

[otaznik]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:10:54, on 31.5.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programs\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programs\ESET Smart Security\ekrn.exe
C:\Programs\Cobian Backup 8\Cobian.exe
C:\Programs\ESET Smart Security\egui.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programs\Xfire\xfire.exe
C:\Programs\Cobian Backup 8\cbInterface.exe
C:\Programs\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programs\DAEMON Tools Lite\daemon.exe
C:\Programs\Mozilla Firefox\firefox.exe
C:\Programs\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programs\Acrobat 7\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programs\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Programs\Cobian Backup 8\Cobian.exe"
O4 - HKLM\..\Run: [egui] "C:\Programs\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programs\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programs\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programs\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programs\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programs\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programs\Acrobat 7\Reader\reader_sl.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programs\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programs\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programs\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f ... wflash.cab
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programs\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programs\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programs\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5623 bytes

[otaznik]

Šmejdíky jsme odstranili a ještě ten log z HJT ať fixneme zbytečnosti.

Ale ikonky stále nejsou takové, jaké mají být.