nelze zobrazit Program Files

[Pentia]

Dobrý den,

potřebuju nutně radu. Dnes jsem se chtěla podívat co všechno mám na C:, kvůli zpomalenému Pc a zjistila jsem, že mi počítač bohužel vůbec nezobrazí obsah Program Files! Jindy klasicky bez problému, dnes bílo. Nemám nastavené skryté ikony ani nic podobného. Tak se trochu bojím možného viru. Mám podezření na 04/Daemon ve Win 32. Můžete mi prosím zkontrolovat log a poradit?
Díky moc, P.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:06, on 1.6.2010
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MultiRes\MultiRes.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Program Files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\PIII\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT1638664
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MultiRes] C:\Program Files\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Program Files\BlazeVideo\BlazeDVD 5 Standard\MediaDetector.exe"
O4 - HKCU\..\Run: [My Free Antivirus Monitor] C:\Program Files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9634857266
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

--
End of file - 4006 bytes

[Reklama]

[Damned]

Kolik těch počítačů máš?

Spusť si HJT a fixni:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT1638664
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

Spusť si MbAm, aktualizuj ho a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

[Pentia]

Moc děkuju za reakci, udělala jsem to dle rad:)

Ráda bych se ještě zeptala - z čeho jsi usoudil, že mám počítačů víc? Já mám jenom jeden PC, trochu starší typ, přeinstalovaný původně svépomocí z milénií na 2000, ale už se mi párkrát stalo, že mi nějaké programy a nastavení vyhodily hlášku, jako by si myslely, že mám PC a sítí více. Nemám! Kromě toho mi občas různé volně stáhnutelné programy háží jazyk do němčiny místo do češtiny a sem tam dokonce lokalizují mojí IP do Německa! (JAP nepoužívám cca rok, všechna nastavení jsem zrušila). Dá se s tím něco dělat?

Moc díky za radu, hezký den, P.

Typ skenu: Rychlý sken
Objektu skenováno: 90993
Uplynulý cas: 7 minute(s), 4 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 2
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

[Damned]

Uvidíme, co s tím uděláme.

Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Vypni rezidentní štít antiviru (pokud máš tak i antispyware).
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Damned]

Tady viewtopic.php?f=70&t=39467 máš Win 2000 SP2 a tady SP4, proto jsem se ptal

[Pentia]

Děkuju!

Vkládám log:

Malwarebytes' Anti-Malware 1.37
Verze databáze: 2236
Windows 5.0.2195 Service Pack 4

6.6.2009 12:29:30
mbam-log-2009-06-06 (12-29-30).txt

Typ skenu: Úplný sken (A:\|C:\|D:\|E:\|)
Objektu skenováno: 124085
Uplynulý cas: 19 minute(s), 33 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Vypadá v pořádku :)

[Pentia]

Děkuju za rady ještě jednou, přikládám log z Combofixu. Ale píše mi to, že se to nedá napravit- "není konzole pro zotavení"...co s tím?
Děkuju, P.


ComboFix 09-06-05.07 - PIII 06.06.2009 12:40.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.255.160 [GMT 2:00]
Spuštěný z: c:\documents and settings\PIII\Plocha\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\system32\SysInfo.dll
c:\winnt\system32\systeminfo.dll
c:\winnt\Web\default.htt

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-05-06 do 2009-06-06 )))))))))))))))))))))))))))))))
.

2010-05-17 05:20 . 2010-05-17 05:20 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_34c.dat
2010-05-16 17:24 . 2010-05-16 17:24 77824 -c--atw- c:\winnt\system32\DRWEBSP.DLL
2010-05-16 17:24 . 2010-05-18 11:55 -------- dc----w- c:\program files\DrWeb
2010-05-14 14:38 . 2010-05-14 14:38 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_314.dat
2010-05-14 08:21 . 2010-05-14 08:21 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_2b0.dat
2010-05-13 21:20 . 2009-05-29 04:28 -------- dc----w- c:\program files\Common Files\Symantec Shared
2009-06-06 10:39 . 2009-06-06 10:39 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_254.dat
2009-06-06 09:39 . 2009-06-06 09:39 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_1dc.dat
2009-06-03 19:10 . 2009-06-03 19:10 -------- dc----w- c:\documents and settings\kompars, hostess_soubory
2009-06-03 18:51 . 2009-06-03 18:51 -------- dc----w- c:\documents and settings\focení pro bijoux_soubory
2009-06-03 15:46 . 2009-06-03 15:46 -------- dc----w- c:\documents and settings\medipool-callU Lékaře!_soubory
2009-06-03 15:45 . 2009-06-03 15:45 -------- dc----w- c:\documents and settings\ochutnavky dal_soubory
2009-06-03 15:43 . 2009-06-03 15:44 -------- dc----w- c:\documents and settings\hočicHostess_soubory
2009-06-03 15:35 . 2009-06-03 15:35 -------- dc----w- c:\documents and settings\elektro_soubory
2009-06-03 15:31 . 2009-06-03 15:31 -------- dc----w- c:\documents and settings\hostess-žluté lázně_soubory
2009-06-03 14:58 . 2009-06-03 14:58 -------- dc----w- c:\documents and settings\165793-administrativni-pracovnik-sodex!!!!_soubory
2009-06-03 14:55 . 2009-06-03 14:55 -------- dc----w- c:\documents and settings\163308-recepcni_soubory
2009-06-03 14:55 . 2009-06-03 14:55 -------- dc----w- c:\documents and settings\165074-recepcni_soubory
2009-06-03 14:54 . 2009-06-03 14:54 -------- dc----w- c:\documents and settings\admin_soubory
2009-06-03 14:51 . 2009-06-03 14:51 -------- dc----w- c:\documents and settings\121083-zprostredkovatel_soubory
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Conduit
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Smart_PC
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Smart PC Solutions
2009-05-30 13:06 . 2009-05-30 13:06 -------- dc----w- c:\program files\Ashampoo
2009-05-28 18:40 . 2009-05-28 18:40 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_328.dat
2009-05-27 18:01 . 2009-05-27 18:01 -------- dc----w- c:\program files\Sunbelt Software
2009-05-11 21:29 . 2009-05-11 21:29 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_208.dat
2009-05-10 20:19 . 2009-05-10 20:19 -------- dc----w- c:\winnt\Sun
2009-05-10 20:18 . 2009-05-10 20:17 410984 -c--a-w- c:\winnt\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 17:24 . 2005-07-25 18:57 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-06-02 23:03 . 2009-04-14 16:51 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-05-26 11:20 . 2009-04-14 16:51 40160 -c--a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2009-04-14 16:51 18456 -c--a-w- c:\winnt\system32\drivers\mbam.sys
2009-05-10 22:44 . 2009-04-30 23:29 -------- dc----w- c:\program files\Firefly Studios
2009-05-01 00:03 . 2009-05-01 00:03 98304 -c--a-w- c:\winnt\system32\CmdLineExt.dll
2009-04-19 15:37 . 2009-04-19 15:37 -------- dc----w- c:\program files\Google
2009-04-16 20:25 . 2009-04-16 20:25 4096 -c--a-w- c:\winnt\d3dx.dat
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\6FRRDZJD.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\I1JR33B1.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\OI3TRJ9J.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\JHJJRF73.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\GYZ9NH35.DAT
2009-04-14 17:32 . 2009-04-14 17:32 -------- dc----w- c:\program files\MultiRes
2009-04-14 17:31 . 2009-04-14 17:31 -------- dc----w- c:\program files\Nvidia Omega Drivers
2009-04-14 17:30 . 2009-04-14 17:31 737280 -c--a-w- c:\winnt\iun6002.exe
2009-04-14 16:11 . 2009-04-14 16:11 58904 -c--a-w- c:\winnt\system32\sysfolderazipcnt.dll
2009-04-14 16:11 . 2009-04-14 16:11 58904 -c--a-w- c:\winnt\system32\azipcontmn.dll
2009-04-14 16:11 . 2009-04-14 16:10 -------- dc----w- c:\program files\AlphaZIP
2009-04-13 17:50 . 2005-07-25 18:57 -------- dc--a-w- c:\program files\Common Files\InstallShield
2009-04-13 15:52 . 2009-04-09 21:30 -------- dc--a-w- c:\program files\Common Files\Adobe
2009-04-13 15:11 . 2009-04-13 15:11 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_1f8.dat
2009-04-13 14:07 . 2009-04-13 14:01 -------- dc----w- c:\program files\RegCleaner
2009-04-13 12:52 . 2009-04-13 12:52 0 -c--a-w- c:\winnt\nsreg.dat
2009-04-13 12:18 . 2009-04-13 12:18 558142 -c--a-w- c:\winnt\java\Packages\IQ7FV9JX.ZIP
2009-04-13 12:18 . 2009-04-13 12:18 2474 -c--a-w- c:\winnt\java\Packages\Data\TV5J9JD7.DAT
2009-04-13 12:17 . 2009-04-13 12:17 2232 -c--a-w- c:\winnt\java\Packages\Data\NFHBL35Z.DAT
2009-04-13 12:17 . 2009-04-13 12:17 155995 -c--a-w- c:\winnt\java\Packages\V5J1ZLV7.ZIP
2009-04-13 12:17 . 2001-06-14 00:00 42602 -c--a-w- c:\winnt\system32\perfc005.dat
2009-04-13 12:17 . 2001-06-14 00:00 298098 -c--a-w- c:\winnt\system32\perfh005.dat
2009-04-13 12:17 . 2005-07-25 18:33 22034 -c-h--w- c:\program files\folder.htt
2009-04-13 12:16 . 2009-04-13 12:16 15144 -c--a-w- c:\winnt\system32\emptyregdb.dat
2009-04-09 20:15 . 2009-04-08 20:46 -------- dc--a-w- c:\program files\Common Files\Stardock
2009-04-08 20:48 . 2009-04-08 20:48 -------- dc--a-w- c:\program files\Adaptec
2009-04-08 18:09 . 2009-04-08 18:09 -------- dc--a-w- c:\program files\Příslušenství
2009-03-27 06:14 . 2009-04-13 19:27 453152 -c--a-w- c:\winnt\system32\NVUNINST.EXE
2009-03-19 15:08 . 2009-03-19 15:08 499712 -c--a-w- c:\winnt\system32\msvcp71.dll
2009-03-19 15:08 . 2009-03-19 15:08 348160 -c--a-w- c:\winnt\system32\msvcr71.dll
2009-03-09 13:27 . 2009-04-14 18:29 453456 -c--a-w- c:\winnt\system32\d3dx10_41.dll
2009-03-09 13:27 . 2009-04-14 18:29 1846632 -c--a-w- c:\winnt\system32\D3DCompiler_41.dll
2009-03-09 13:27 . 2009-04-14 18:28 4178264 -c--a-w- c:\winnt\system32\D3DX9_41.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e3aaf71e-b295-4156-ae11-777237a1db3c}]
2009-01-20 13:11 1881112 -c--a-w- c:\program files\Smart_PC\tbSmar.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"My Free Antivirus Monitor"="c:\program files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe" [2009-05-05 238864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"MultiRes"="c:\program files\MultiRes\MultiRes.exe" [2005-01-26 61952]
"NvCplDaemon"="c:\winnt\system32\NvCpl.dll" [2004-10-29 4620288]
"NvMediaCenter"="c:\winnt\system32\NvMcTray.dll" [2004-10-29 86016]
"Ashampoo FireWall"="c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]
"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2004-10-29 921600]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 111888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2001-06-14 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]

R3 ctlsb16;Creative SB16/AWE32/AWE64 Driver (WDM);c:\winnt\system32\drivers\ctlsb16.sys [13.4.2009 15:09 141904]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - MBAMSwissArmy
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-BlazeServoTool - c:\program files\BlazeVideo\BlazeDVD 5 Standard\MediaDetector.exe
SafeBoot-procexp90.Sys


.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\PIII\Data aplikací\Mozilla\Firefox\Profiles\n3amsakj.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-06 12:45
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\PIII\LOCALS~1\Temp\ASFWHide"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(184)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'lsass.exe'(224)
c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
.
Celkový čas: 2009-06-06 12:47
ComboFix-quarantined-files.txt 2009-06-06 10:47

Před spuštěním: 338 301 952
Po spuštění: 655 197 696

152 --- E O F --- 2009-05-31 01:02

Uvidíme, co s tím uděláme.

Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Remove Selected
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Vypni rezidentní štít antiviru (pokud máš tak i antispyware).
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Damned]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

File::
c:\winnt\d3dx.dat

DirLook::
c:\docume~1\PIII\LOCALS~1\Temp\ASFWHide



Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT+popiš chování PC


Nemáš tam žádněj pořádnej Antivir. Ten ze SmartPC je spíše jen nerezidentní detektor, jako by si šla se špendlíkem na slona.

[Pentia]

Tak je to:)

Log z Combu:

ComboFix 09-06-05.07 - PIII 06.06.2009 18:32.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.255.152 [GMT 2:00]
Spuštěný z: c:\documents and settings\PIII\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\PIII\Plocha\CFScript.txt

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
"c:\winnt\d3dx.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\d3dx.dat

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-05-06 do 2009-06-06 )))))))))))))))))))))))))))))))
.

2010-05-17 05:20 . 2010-05-17 05:20 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_34c.dat
2010-05-16 17:24 . 2010-05-16 17:24 77824 -c--atw- c:\winnt\system32\DRWEBSP.DLL
2010-05-16 17:24 . 2010-05-18 11:55 -------- dc----w- c:\program files\DrWeb
2010-05-14 14:38 . 2010-05-14 14:38 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_314.dat
2010-05-14 08:21 . 2010-05-14 08:21 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_2b0.dat
2010-05-13 21:20 . 2009-05-29 04:28 -------- dc----w- c:\program files\Common Files\Symantec Shared
2009-06-06 16:35 . 2009-06-06 16:35 0 -c--a-w- c:\winnt\system32\epsonsys.sys
2009-06-06 16:31 . 2009-06-06 16:31 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_29c.dat
2009-06-06 11:59 . 2009-06-06 11:59 -------- dc----w- c:\documents and settings\zámek_soubory
2009-06-06 11:45 . 2009-06-06 11:45 -------- dc----w- c:\documents and settings\tophosteska-postava!_soubory
2009-06-06 11:00 . 2009-06-06 11:00 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_1d8.dat
2009-06-06 10:39 . 2009-06-06 10:39 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_254.dat
2009-06-06 09:39 . 2009-06-06 09:39 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_1dc.dat
2009-06-03 19:10 . 2009-06-03 19:10 -------- dc----w- c:\documents and settings\kompars, hostess_soubory
2009-06-03 18:51 . 2009-06-03 18:51 -------- dc----w- c:\documents and settings\focení pro bijoux_soubory
2009-06-03 15:46 . 2009-06-03 15:46 -------- dc----w- c:\documents and settings\medipool-callU Lékaře!_soubory
2009-06-03 15:45 . 2009-06-03 15:45 -------- dc----w- c:\documents and settings\ochutnavky dal_soubory
2009-06-03 15:43 . 2009-06-03 15:44 -------- dc----w- c:\documents and settings\hočicHostess_soubory
2009-06-03 15:35 . 2009-06-03 15:35 -------- dc----w- c:\documents and settings\elektro_soubory
2009-06-03 15:31 . 2009-06-03 15:31 -------- dc----w- c:\documents and settings\hostess-žluté lázně_soubory
2009-06-03 14:58 . 2009-06-03 14:58 -------- dc----w- c:\documents and settings\165793-administrativni-pracovnik-sodex!!!!_soubory
2009-06-03 14:55 . 2009-06-03 14:55 -------- dc----w- c:\documents and settings\163308-recepcni_soubory
2009-06-03 14:55 . 2009-06-03 14:55 -------- dc----w- c:\documents and settings\165074-recepcni_soubory
2009-06-03 14:54 . 2009-06-03 14:54 -------- dc----w- c:\documents and settings\admin_soubory
2009-06-03 14:51 . 2009-06-03 14:51 -------- dc----w- c:\documents and settings\121083-zprostredkovatel_soubory
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Conduit
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Smart_PC
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Smart PC Solutions
2009-05-30 13:06 . 2009-05-30 13:06 -------- dc----w- c:\program files\Ashampoo
2009-05-28 18:40 . 2009-05-28 18:40 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_328.dat
2009-05-27 18:01 . 2009-05-27 18:01 -------- dc----w- c:\program files\Sunbelt Software
2009-05-11 21:29 . 2009-05-11 21:29 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_208.dat
2009-05-10 20:19 . 2009-05-10 20:19 -------- dc----w- c:\winnt\Sun
2009-05-10 20:18 . 2009-05-10 20:17 410984 -c--a-w- c:\winnt\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 17:24 . 2005-07-25 18:57 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-06-02 23:03 . 2009-04-14 16:51 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-05-26 11:20 . 2009-04-14 16:51 40160 -c--a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2009-04-14 16:51 18456 -c--a-w- c:\winnt\system32\drivers\mbam.sys
2009-05-10 22:44 . 2009-04-30 23:29 -------- dc----w- c:\program files\Firefly Studios
2009-05-01 00:03 . 2009-05-01 00:03 98304 -c--a-w- c:\winnt\system32\CmdLineExt.dll
2009-04-19 15:37 . 2009-04-19 15:37 -------- dc----w- c:\program files\Google
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\6FRRDZJD.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\I1JR33B1.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\OI3TRJ9J.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\JHJJRF73.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\GYZ9NH35.DAT
2009-04-14 17:32 . 2009-04-14 17:32 -------- dc----w- c:\program files\MultiRes
2009-04-14 17:31 . 2009-04-14 17:31 -------- dc----w- c:\program files\Nvidia Omega Drivers
2009-04-14 17:30 . 2009-04-14 17:31 737280 -c--a-w- c:\winnt\iun6002.exe
2009-04-14 16:11 . 2009-04-14 16:11 58904 -c--a-w- c:\winnt\system32\sysfolderazipcnt.dll
2009-04-14 16:11 . 2009-04-14 16:11 58904 -c--a-w- c:\winnt\system32\azipcontmn.dll
2009-04-14 16:11 . 2009-04-14 16:10 -------- dc----w- c:\program files\AlphaZIP
2009-04-13 17:50 . 2005-07-25 18:57 -------- dc--a-w- c:\program files\Common Files\InstallShield
2009-04-13 15:52 . 2009-04-09 21:30 -------- dc--a-w- c:\program files\Common Files\Adobe
2009-04-13 15:11 . 2009-04-13 15:11 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_1f8.dat
2009-04-13 14:07 . 2009-04-13 14:01 -------- dc----w- c:\program files\RegCleaner
2009-04-13 12:52 . 2009-04-13 12:52 0 -c--a-w- c:\winnt\nsreg.dat
2009-04-13 12:18 . 2009-04-13 12:18 558142 -c--a-w- c:\winnt\java\Packages\IQ7FV9JX.ZIP
2009-04-13 12:18 . 2009-04-13 12:18 2474 -c--a-w- c:\winnt\java\Packages\Data\TV5J9JD7.DAT
2009-04-13 12:17 . 2009-04-13 12:17 2232 -c--a-w- c:\winnt\java\Packages\Data\NFHBL35Z.DAT
2009-04-13 12:17 . 2009-04-13 12:17 155995 -c--a-w- c:\winnt\java\Packages\V5J1ZLV7.ZIP
2009-04-13 12:17 . 2001-06-14 00:00 42602 -c--a-w- c:\winnt\system32\perfc005.dat
2009-04-13 12:17 . 2001-06-14 00:00 298098 -c--a-w- c:\winnt\system32\perfh005.dat
2009-04-13 12:17 . 2005-07-25 18:33 22034 -c-h--w- c:\program files\folder.htt
2009-04-13 12:16 . 2009-04-13 12:16 15144 -c--a-w- c:\winnt\system32\emptyregdb.dat
2009-04-09 20:15 . 2009-04-08 20:46 -------- dc--a-w- c:\program files\Common Files\Stardock
2009-04-08 20:48 . 2009-04-08 20:48 -------- dc--a-w- c:\program files\Adaptec
2009-04-08 18:09 . 2009-04-08 18:09 -------- dc--a-w- c:\program files\Příslušenství
2009-03-27 06:14 . 2009-04-13 19:27 453152 -c--a-w- c:\winnt\system32\NVUNINST.EXE
2009-03-19 15:08 . 2009-03-19 15:08 499712 -c--a-w- c:\winnt\system32\msvcp71.dll
2009-03-19 15:08 . 2009-03-19 15:08 348160 -c--a-w- c:\winnt\system32\msvcr71.dll
2009-03-09 13:27 . 2009-04-14 18:29 453456 -c--a-w- c:\winnt\system32\d3dx10_41.dll
2009-03-09 13:27 . 2009-04-14 18:29 1846632 -c--a-w- c:\winnt\system32\D3DCompiler_41.dll
2009-03-09 13:27 . 2009-04-14 18:28 4178264 -c--a-w- c:\winnt\system32\D3DX9_41.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\docume~1\PIII\LOCALS~1\Temp\ASFWHide ----



(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e3aaf71e-b295-4156-ae11-777237a1db3c}]
2009-01-20 13:11 1881112 -c--a-w- c:\program files\Smart_PC\tbSmar.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"My Free Antivirus Monitor"="c:\program files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe" [2009-05-05 238864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"MultiRes"="c:\program files\MultiRes\MultiRes.exe" [2005-01-26 61952]
"NvCplDaemon"="c:\winnt\system32\NvCpl.dll" [2004-10-29 4620288]
"NvMediaCenter"="c:\winnt\system32\NvMcTray.dll" [2004-10-29 86016]
"Ashampoo FireWall"="c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]
"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2004-10-29 921600]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 111888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2001-06-14 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]

R3 ctlsb16;Creative SB16/AWE32/AWE64 Driver (WDM);c:\winnt\system32\drivers\ctlsb16.sys [13.4.2009 15:09 141904]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
*Deregistered* - MBAMSwissArmy
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://search.conduit.com?SearchSource= ... =CT1638664
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\PIII\Data aplikací\Mozilla\Firefox\Profiles\n3amsakj.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-06 18:37
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\PIII\LOCALS~1\Temp\ASFWHide"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(184)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'lsass.exe'(224)
c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
.
Celkový čas: 2009-06-06 18:40
ComboFix-quarantined-files.txt 2009-06-06 16:40
ComboFix2.txt 2009-06-06 10:48

Před spuštěním: 660 335 616
Po spuštění: 654 532 608

162 --- E O F --- 2009-05-31 01:02

Z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:43, on 6.6.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\MultiRes\MultiRes.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Program Files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe
C:\Documents and Settings\PIII\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT1638664
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MultiRes] C:\Program Files\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [My Free Antivirus Monitor] C:\Program Files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

--
End of file - 3950 bytes


PC se při spuštění Combu pozastavil, zachvěla se obrazovka a pak zmizely ikony, zůstala jen plocha a na ní běželo okénko Comb. Při doběhnutí a utvoření logu mi to napsalo, že chybí jakási knihovna v antiviru a že se musí ukončit a error. PC se sám nevypnul, ikonky samy nenaběhly, počítač na enter nereagoval, takže jsem PC mechanicky vypnula a opět zapnula, pak vše naskočilo normálně.
Jaký antivirus bys mi tedy prosím radil? Již jsem zkoušela Avg - hrůza, příšerně zpomaloval PC, nemám na něj dost velkou paměť. Přes Avast mi tam zas naběhly nějaký potvory. Nejlepší byl asi Eset, ale ten bych si musela zaplatit, ale zvažuju to. Máš s nějakým Antivirem dobré zkušenosti?
P.

[Damned]

Rozhodně bych nepoužil antivir PC Suite. Já mám avast a sem navýsost spokojen.
Při spuštění ComboFixu musí být vypnuté všechny ochrany, tedy i ten PC Suite, překáží to pak skenování.

Vypni všechny ochrany, Spusť znovu ComboFix a dej sem znovu log.

[Pentia]

Díky, zapomněla jsem to předtím natvrdo shodit.

Takže, Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:24, on 6.6.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\MultiRes\MultiRes.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Program Files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\notepad.exe
C:\Documents and Settings\PIII\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?SearchSource ... =CT1638664
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MultiRes] C:\Program Files\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [My Free Antivirus Monitor] C:\Program Files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

--
End of file - 3982 bytes

Comb:

ComboFix 09-06-05.07 - PIII 06.06.2009 19:14.3 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.255.133 [GMT 2:00]
Spuštěný z: c:\documents and settings\PIII\Plocha\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\system32\epsonsys.sys

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-05-06 do 2009-06-06 )))))))))))))))))))))))))))))))
.

2010-05-16 17:24 . 2010-05-16 17:24 77824 -c--atw- c:\winnt\system32\DRWEBSP.DLL
2010-05-16 17:24 . 2010-05-18 11:55 -------- dc----w- c:\program files\DrWeb
2010-05-13 21:20 . 2009-05-29 04:28 -------- dc----w- c:\program files\Common Files\Symantec Shared
2009-06-06 17:20 . 2009-06-06 17:20 16384 -c--atw- c:\winnt\system32\Perflib_Perfdata_1d8.dat
2009-06-06 11:59 . 2009-06-06 11:59 -------- dc----w- c:\documents and settings\zámek_soubory
2009-06-06 11:45 . 2009-06-06 11:45 -------- dc----w- c:\documents and settings\tophosteska-postava!_soubory
2009-06-03 19:10 . 2009-06-03 19:10 -------- dc----w- c:\documents and settings\kompars, hostess_soubory
2009-06-03 18:51 . 2009-06-03 18:51 -------- dc----w- c:\documents and settings\focení pro bijoux_soubory
2009-06-03 15:46 . 2009-06-03 15:46 -------- dc----w- c:\documents and settings\medipool-callU Lékaře!_soubory
2009-06-03 15:45 . 2009-06-03 15:45 -------- dc----w- c:\documents and settings\ochutnavky dal_soubory
2009-06-03 15:43 . 2009-06-03 15:44 -------- dc----w- c:\documents and settings\hočicHostess_soubory
2009-06-03 15:35 . 2009-06-03 15:35 -------- dc----w- c:\documents and settings\elektro_soubory
2009-06-03 15:31 . 2009-06-03 15:31 -------- dc----w- c:\documents and settings\hostess-žluté lázně_soubory
2009-06-03 14:58 . 2009-06-03 14:58 -------- dc----w- c:\documents and settings\165793-administrativni-pracovnik-sodex!!!!_soubory
2009-06-03 14:55 . 2009-06-03 14:55 -------- dc----w- c:\documents and settings\163308-recepcni_soubory
2009-06-03 14:55 . 2009-06-03 14:55 -------- dc----w- c:\documents and settings\165074-recepcni_soubory
2009-06-03 14:54 . 2009-06-03 14:54 -------- dc----w- c:\documents and settings\admin_soubory
2009-06-03 14:51 . 2009-06-03 14:51 -------- dc----w- c:\documents and settings\121083-zprostredkovatel_soubory
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Conduit
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Smart_PC
2009-05-30 23:00 . 2009-05-30 23:00 -------- dc----w- c:\program files\Smart PC Solutions
2009-05-30 13:06 . 2009-05-30 13:06 -------- dc----w- c:\program files\Ashampoo
2009-05-27 18:01 . 2009-05-27 18:01 -------- dc----w- c:\program files\Sunbelt Software
2009-05-10 20:19 . 2009-05-10 20:19 -------- dc----w- c:\winnt\Sun
2009-05-10 20:18 . 2009-05-10 20:17 410984 -c--a-w- c:\winnt\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 17:24 . 2005-07-25 18:57 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-06-02 23:03 . 2009-04-14 16:51 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-05-26 11:20 . 2009-04-14 16:51 40160 -c--a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2009-04-14 16:51 18456 -c--a-w- c:\winnt\system32\drivers\mbam.sys
2009-05-10 22:44 . 2009-04-30 23:29 -------- dc----w- c:\program files\Firefly Studios
2009-05-01 00:03 . 2009-05-01 00:03 98304 -c--a-w- c:\winnt\system32\CmdLineExt.dll
2009-04-19 15:37 . 2009-04-19 15:37 -------- dc----w- c:\program files\Google
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\6FRRDZJD.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\I1JR33B1.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\OI3TRJ9J.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\JHJJRF73.DAT
2009-04-14 18:02 . 2009-04-14 18:02 2678 -c--a-w- c:\winnt\java\Packages\Data\GYZ9NH35.DAT
2009-04-14 17:32 . 2009-04-14 17:32 -------- dc----w- c:\program files\MultiRes
2009-04-14 17:31 . 2009-04-14 17:31 -------- dc----w- c:\program files\Nvidia Omega Drivers
2009-04-14 17:30 . 2009-04-14 17:31 737280 -c--a-w- c:\winnt\iun6002.exe
2009-04-14 16:11 . 2009-04-14 16:11 58904 -c--a-w- c:\winnt\system32\sysfolderazipcnt.dll
2009-04-14 16:11 . 2009-04-14 16:11 58904 -c--a-w- c:\winnt\system32\azipcontmn.dll
2009-04-14 16:11 . 2009-04-14 16:10 -------- dc----w- c:\program files\AlphaZIP
2009-04-13 17:50 . 2005-07-25 18:57 -------- dc--a-w- c:\program files\Common Files\InstallShield
2009-04-13 15:52 . 2009-04-09 21:30 -------- dc--a-w- c:\program files\Common Files\Adobe
2009-04-13 14:07 . 2009-04-13 14:01 -------- dc----w- c:\program files\RegCleaner
2009-04-13 12:52 . 2009-04-13 12:52 0 -c--a-w- c:\winnt\nsreg.dat
2009-04-13 12:18 . 2009-04-13 12:18 558142 -c--a-w- c:\winnt\java\Packages\IQ7FV9JX.ZIP
2009-04-13 12:18 . 2009-04-13 12:18 2474 -c--a-w- c:\winnt\java\Packages\Data\TV5J9JD7.DAT
2009-04-13 12:17 . 2009-04-13 12:17 2232 -c--a-w- c:\winnt\java\Packages\Data\NFHBL35Z.DAT
2009-04-13 12:17 . 2009-04-13 12:17 155995 -c--a-w- c:\winnt\java\Packages\V5J1ZLV7.ZIP
2009-04-13 12:17 . 2001-06-14 00:00 42602 -c--a-w- c:\winnt\system32\perfc005.dat
2009-04-13 12:17 . 2001-06-14 00:00 298098 -c--a-w- c:\winnt\system32\perfh005.dat
2009-04-13 12:17 . 2005-07-25 18:33 22034 -c-h--w- c:\program files\folder.htt
2009-04-13 12:16 . 2009-04-13 12:16 15144 -c--a-w- c:\winnt\system32\emptyregdb.dat
2009-04-09 20:15 . 2009-04-08 20:46 -------- dc--a-w- c:\program files\Common Files\Stardock
2009-04-08 20:48 . 2009-04-08 20:48 -------- dc--a-w- c:\program files\Adaptec
2009-04-08 18:09 . 2009-04-08 18:09 -------- dc--a-w- c:\program files\Příslušenství
2009-03-27 06:14 . 2009-04-13 19:27 453152 -c--a-w- c:\winnt\system32\NVUNINST.EXE
2009-03-19 15:08 . 2009-03-19 15:08 499712 -c--a-w- c:\winnt\system32\msvcp71.dll
2009-03-19 15:08 . 2009-03-19 15:08 348160 -c--a-w- c:\winnt\system32\msvcr71.dll
2009-03-09 13:27 . 2009-04-14 18:29 453456 -c--a-w- c:\winnt\system32\d3dx10_41.dll
2009-03-09 13:27 . 2009-04-14 18:29 1846632 -c--a-w- c:\winnt\system32\D3DCompiler_41.dll
2009-03-09 13:27 . 2009-04-14 18:28 4178264 -c--a-w- c:\winnt\system32\D3DX9_41.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e3aaf71e-b295-4156-ae11-777237a1db3c}]
2009-01-20 13:11 1881112 -c--a-w- c:\program files\Smart_PC\tbSmar.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"My Free Antivirus Monitor"="c:\program files\Smart PC Solutions\My Free Antivirus\MyFreeAntivirusMonitor.exe" [2009-05-05 238864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"MultiRes"="c:\program files\MultiRes\MultiRes.exe" [2005-01-26 61952]
"NvCplDaemon"="c:\winnt\system32\NvCpl.dll" [2004-10-29 4620288]
"NvMediaCenter"="c:\winnt\system32\NvMcTray.dll" [2004-10-29 86016]
"Ashampoo FireWall"="c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]
"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2004-10-29 921600]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 111888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2001-06-14 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]

R3 ctlsb16;Creative SB16/AWE32/AWE64 Driver (WDM);c:\winnt\system32\drivers\ctlsb16.sys [13.4.2009 15:09 141904]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource ... =CT1638664
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\PIII\Data aplikací\Mozilla\Firefox\Profiles\n3amsakj.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-06 19:21
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\PIII\LOCALS~1\Temp\ASFWHide"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(156)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'lsass.exe'(224)
c:\program files\Ashampoo\Ashampoo FireWall\spi.dll

- - - - - - - > 'explorer.exe'(940)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\SHDOCVW.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\11\1029\OWCI11.DLL
.
Celkový čas: 2009-06-06 19:24 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-06-06 17:24
ComboFix2.txt 2009-06-06 16:40
ComboFix3.txt 2009-06-06 10:48

Před spuštěním: 657 922 560
Po spuštění: 651 972 096

147 --- E O F --- 2009-05-31 01:02

Je to ok?

[Damned]

Od Sunbelt tam máš co?

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

File::
c:\winnt\system32\DRWEBSP.DLL

Folder::
c:\program files\DrWeb
c:\program files\Common Files\Symantec Shared



Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT