Kontrola logu HJT Vyřešeno

[Damned]

Start-spustit-napiš: notepad .do něho vlož tento celý text:

Kód: Vybrat vše

dir \explorer.exe /a h /s > File.txt

uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.
*****************************************************************************************************************************************
Zkus si zde
http://www.edisk.cz/stahni/06710/tools.rar_3.6MB.html

stáhnout některé prográmky co by se nám mohly hodit.
Rozbal si archiv do svého adresáře. Soubory jsou záměrně pojmenované jinak než původní v návodech, tak se nediv.

itr - RSIT
buss - DDS
VerTerm= Combofix
spusť VerTerm v nouzovém režimu, a pak sem vlož z něho log.

Návod na Combofix (VerTerm):
ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

Pokud nepůjde spusť itr=RSIT a dej sem z něho log.

[Reklama]

[CLITcom]

tady je log z COmboFixu:


ComboFix 09-07-04.04 - Administrator 05.07.2009 10:53.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.3582.3301 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator.NEWCOMP\Plocha\ComboFix.exe
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-06-05 do 2009-07-05 )))))))))))))))))))))))))))))))
.

2009-07-05 08:46 . 2009-07-05 08:46 -------- d-----w- c:\program files\ExtractNow
2009-07-05 08:41 . 2007-05-27 19:57 1732 ----a-w- c:\windows\system32\drivers\nvphy.bin
2009-07-05 08:41 . 2007-06-22 09:51 356352 ----a-w- c:\windows\system32\nvunrm.exe
2009-07-05 08:41 . 2006-09-11 15:27 356352 ----a-w- c:\windows\system32\nvusmb.exe
2009-07-05 08:41 . 2007-05-01 06:23 356352 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-07-05 08:41 . 2009-07-05 08:41 -------- d-----w- c:\documents and settings\ADMINI~1~NEW\LOCALS~1
2009-07-05 08:41 . 2009-07-05 08:41 -------- d-----w- c:\documents and settings\ADMINI~1~NEW
2009-07-05 08:40 . 2009-07-05 08:40 -------- d-----w- c:\program files\DIFX
2009-07-05 08:40 . 2009-07-05 08:42 -------- d-----w- c:\windows\LastGood
2009-07-05 08:40 . 2009-07-05 08:40 -------- dc----w- c:\windows\system32\DRVSTORE
2009-07-05 08:40 . 2006-06-18 21:59 43008 ----a-w- c:\windows\system32\drivers\AmdK8.sys
2009-07-05 08:39 . 2009-07-05 08:40 15600 ----a-w- c:\windows\gdrv.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-05 08:35 . 2001-10-25 12:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2009-07-05 08:35 . 2001-10-25 12:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2009-07-04 10:57 . 2009-07-04 10:57 -------- d-----w- c:\program files\microsoft frontpage
2009-07-04 10:56 . 2009-07-04 10:56 8738 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2009-07-04 10:56 . 2009-07-04 10:56 2112 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2009-07-04 10:56 . 2009-07-04 10:56 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-07-04 10:55 . 2009-07-04 10:55 21812 ----a-w- c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=


--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - BITS
*NewlyCreated* - GDRV
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-05 10:54
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2009-07-05 10:54
ComboFix-quarantined-files.txt 2009-07-05 08:54

Před spuštěním: Volných bajtů: 43 932 258 304
Po spuštění: Volných bajtů: 43 922 481 152

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

66

[CLITcom]

a tady obsah souboru file.txt

Svazek v jednotce C nemá  žádnou jmenovku.
Sériové číslo svazku je DC1D-28E2.

[Damned]

Podle toho texťáku tam nemáš soubor explorer.exe . Zkopíroval jsi to správně? Normálně by si měl mít v PC dva. Chtěl jsem porovnat velikost originálu a zálohy. Dej Hledat -->>explorer.exe a napiš kde a kolik našel souborů.
*****************************************************************************************************************************************
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok).
Zkopíruj do něj následující celý text označený zeleně:

DirLook::
c:\documents and settings\ADMINI~1~NEW\LOCALS~1



Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT+ popiš chování počítače.

[CLITcom]

Soubor explorer.exe to naslo jenom jeden primo v adresari C:\WINDOWS\

LOG ComboFiXu:

ComboFix 09-07-04.05 - Administrator 05.07.2009 12:21.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.3582.3218 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator.NEWCOMP\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator.NEWCOMP\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090704-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-06-05 do 2009-07-05 )))))))))))))))))))))))))))))))
.

2009-07-05 09:57 . 2009-07-05 09:57 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-05 09:57 . 2009-07-05 09:57 0 ----a-w- c:\windows\nsreg.dat
2009-07-05 09:10 . 2009-07-05 09:10 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-07-05 09:08 . 2009-07-05 09:08 -------- d-----w- c:\program files\Trend Micro
2009-07-05 08:46 . 2009-07-05 08:46 -------- d-----w- c:\program files\ExtractNow
2009-07-05 08:41 . 2007-05-27 19:57 1732 ----a-w- c:\windows\system32\drivers\nvphy.bin
2009-07-05 08:41 . 2007-06-22 09:51 356352 ----a-w- c:\windows\system32\nvunrm.exe
2009-07-05 08:41 . 2006-09-11 15:27 356352 ----a-w- c:\windows\system32\nvusmb.exe
2009-07-05 08:41 . 2007-05-01 06:23 356352 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-07-05 08:41 . 2009-07-05 08:41 -------- d-----w- c:\documents and settings\ADMINI~1~NEW\LOCALS~1
2009-07-05 08:41 . 2009-07-05 08:41 -------- d-----w- c:\documents and settings\ADMINI~1~NEW
2009-07-05 08:40 . 2009-07-05 08:40 -------- d-----w- c:\program files\DIFX
2009-07-05 08:40 . 2009-07-05 08:40 -------- dc----w- c:\windows\system32\DRVSTORE
2009-07-05 08:40 . 2006-06-18 21:59 43008 ----a-w- c:\windows\system32\drivers\AmdK8.sys
2009-07-05 08:39 . 2009-07-05 08:40 15600 ----a-w- c:\windows\gdrv.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-05 09:44 . 2001-10-25 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2009-07-05 09:44 . 2001-10-25 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2009-07-05 09:09 . 2009-07-05 09:09 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-07-05 09:09 . 2009-07-05 09:09 -------- d-----w- c:\program files\Alwil Software
2009-07-04 10:57 . 2009-07-04 10:57 -------- d-----w- c:\program files\microsoft frontpage
2009-07-04 10:56 . 2009-07-04 10:56 8738 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2009-07-04 10:56 . 2009-07-04 10:56 2112 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2009-07-04 10:56 . 2009-07-04 10:56 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-07-04 10:55 . 2009-07-04 10:55 21812 ----a-w- c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\documents and settings\ADMINI~1~NEW\LOCALS~1 ----



((((((((((((((((((((((((((((( SnapShot@2009-07-05_08.54.04 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-05 09:40 . 2009-07-05 09:40 16384 c:\windows\temp\Perflib_Perfdata_1c4.dat
+ 2009-07-04 10:55 . 2008-10-16 12:08 34328 c:\windows\system32\wups.dll
+ 2001-10-25 12:00 . 2009-07-05 09:44 40128 c:\windows\system32\perfc009.dat
+ 2009-07-05 09:09 . 2009-02-05 20:06 51376 c:\windows\system32\drivers\aswTdi.sys
+ 2009-07-05 09:09 . 2009-02-05 20:06 23152 c:\windows\system32\drivers\aswRdr.sys
+ 2009-07-05 09:09 . 2009-02-05 20:08 94032 c:\windows\system32\drivers\aswmon2.sys
+ 2009-07-05 09:09 . 2009-02-05 20:08 93296 c:\windows\system32\drivers\aswmon.sys
+ 2009-07-05 09:09 . 2009-02-05 20:07 20560 c:\windows\system32\drivers\aswFsBlk.sys
+ 2009-07-05 09:09 . 2009-02-05 20:05 26944 c:\windows\system32\drivers\aavmker4.sys
+ 2009-07-04 10:55 . 2008-10-16 12:08 34328 c:\windows\system32\dllcache\wups.dll
+ 2009-07-05 09:09 . 2009-02-05 20:04 97480 c:\windows\system32\AvastSS.scr
+ 2009-07-05 09:10 . 2009-07-05 09:10 65024 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
+ 2009-07-05 09:10 . 2009-07-05 09:10 18944 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
+ 2001-10-25 12:00 . 2009-07-05 09:44 311740 c:\windows\system32\perfh009.dat
+ 2009-07-05 09:09 . 2003-02-21 02:42 348160 c:\windows\system32\MSVCR71.dll
+ 2009-07-05 09:09 . 2003-03-18 18:14 499712 c:\windows\system32\MSVCP71.dll
+ 2009-07-05 09:09 . 2009-02-05 20:07 114768 c:\windows\system32\drivers\aswSP.sys
+ 2009-07-05 09:09 . 2003-03-18 19:20 1060864 c:\windows\system32\MFC71.dll
+ 2009-07-05 09:09 . 2009-02-05 20:11 1256296 c:\windows\system32\aswBoot.exe
+ 2009-07-05 09:10 . 2009-07-05 09:10 1516544 c:\windows\Installer\22f02a.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-26 1830128]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [5.7.2009 11:09 114768]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [26.5.2009 10:05 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [26.5.2009 10:05 72944]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [5.7.2009 11:09 20560]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [26.5.2009 10:05 7408]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - AAVMKER4
*NewlyCreated* - ASWFSBLK
*NewlyCreated* - ASWMON2
*NewlyCreated* - ASWRDR
*NewlyCreated* - ASWSP
*NewlyCreated* - ASWTDI
*NewlyCreated* - ASWUPDSV
*NewlyCreated* - AVAST!_ANTIVIRUS
*NewlyCreated* - AVAST!_MAIL_SCANNER
*NewlyCreated* - AVAST!_WEB_SCANNER
.
.
------- Doplňkový sken -------
.
FF - ProfilePath - c:\documents and settings\Administrator.NEWCOMP\Data aplikací\Mozilla\Firefox\Profiles\ntv3rxpg.default\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-05 12:22
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1644)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
.
Celkový čas: 2009-07-05 12:22
ComboFix-quarantined-files.txt 2009-07-05 10:22
ComboFix2.txt 2009-07-05 08:54

Před spuštěním: Volných bajtů: 43 624 411 136
Po spuštění: Volných bajtů: 43 635 970 048

171

[CLITcom]

a tady je log z HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:41, on 5.7.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 2992 bytes

[CLITcom]

Počítač momentálně fujguje v pořádku, nebo spis nepozoruju že by byl nejaky problem...

[Damned]

Pro jistotu nech soubor C:\WINDOWS\explorer.exe zkontrolovat na Virustotalu . Pokud ti nabídne možnost, že soubor již zkontroloval, nechej zkontrolovat svůj a vlož sem odkaz na výsledek.

Z těch antispyware ať ti běží rezidentně vždy jen jeden.

[CLITcom]

tady je ten odkaz:
http://www.virustotal.com/cs/analisis/0 ... 1246791596

[Damned]

Jaký jsou podrobnosti souboru?
Myslím výrobce, verzi, datum vytvoření atd. Myslím vše, co ti ukáže ve Vlastnostech a při najetí myší.

[CLITcom]

myslis tohle?

Popis: Průzkůmník WIndows
Společnost: Microsoft Corporation
Verze souboru: 6.0.2900.2180
Vytvořeno: 17.8.2004 15:49
Velikost 0,98 MB

[Damned]

No, jako vir ho označil jen CAT a McAfee. Teoreticky to může být i falešný poplach. Pomohla by instalace SP3 nebo IE8. Měla by vyměnit Explorer.exe za novější a tuto verzi smazat, což by bylo jistější.

Pro případ si stáhni níže Explorer.exe. A rozbal si ho do složky C:\Windows\ServicePackFiles\i386 (pokud složku nemáš, vytvoř jí). Pokud by se vyskytla nějaká chyba v budoucnu, vyměnili bychom je.
****************************************************************************************************************************************
Odinstaluj ComboFix.
ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u

takže jestli nejsou problémy,tak vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš->spustíš

(pozn.Pokud máš AVG, před stažením T-Cleaneru a po dobu čištění deaktivuj AVG, následně T-Cleaner smaž
a zapni si AVG.)


Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.
Pokud chceš zachovat svoje uložená hesla, klikni na No.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache,
cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer,
Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Označ topic za vyřešený (zelená fajfka) a měj se. . Kdyby se vyskytli nějaké problémy stav se.