HDD není naformátován + zpomalené PC Vyřešeno

[Storm!k]

Dobrý den,
stáhl jsem z netu *.exe soubor, který se po otevření sám vymazal a nevím, kam se poděl. Každopádně to byl s největší pravděpodobností virus, který nějak zapříčinil to, že i teď můj druhý disk (D) hlásí, že není naformátován?!?
Projel jsem počítač AVGčkem, které ale nic nenašlo.
Také pokaždé, když otevřu tento počítač, tak po chvíli nahlásí, že neodpovídá a po zavření se restartuje celej explorer.exe.
Poradil by někdo?

[Reklama]

[Damned]

Vítám tě zde.
Z mého podpisu si stáhni HijackThis a podle návodu udělej log a vlož ho sem.

[gigahonza]

pust na to eseta http://www.eset.cz/eset-online-skener

[Storm!k]

Díky :-). Ok, log je níž.

Jinak vir udělal mezitím trochu progress...
Po zapnutí počítače se mi zobrazí hláška něco jako 'Pevný disk s technologií S.M.A.R.T. nebyl detekován', to ale není vše. Automaticky se totiž zapne proces (jméno si nepamatuji, začíná na c...), který se začne klonovat a totálně zahltí počítač, takže se seká i kurzor a nejsem schopný nic spustit. Asi napočtvrté se mi ho podařilo včas vypnout, tak PC alespoň funguje a mohl jsem udělat log z HJT.

Měl jsem počítač spuštěný v nouzovém režimu, kde mě Windows nainstalovali jakýsi antivir 'Antivirus Pro 2010', kterým jsem disk projel. Verze zdarma však neumí viry odstranit. Projel jsem PC také AVG, to našlo mimo jiné zavirovaný explorer.exe, který to neumí vyléčit.

Nějaké viry, které mi to našlo, ale nevyléčilo:
A-Trojan 2.0, Advware.Adstart.b, Adware.IpWins, AceBot, BackWebLite, PerMedia, PopMonster Description, Msiebho, Adlogix, MPower,
Trojský kůň Generic14.BEGH, Packed.Hidden

Tady je log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:01, on 23.9.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mHotkey.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\smax4.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Libor Novak\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\taskmgr.exe
C:\web\prog\Apache2\bin\ApacheMonitor.exe
C:\web\prog\mysql_monitor\MySQLSystemTrayMonitor.exe
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\web\prog\Apache2\bin\Apache.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\web\prog\Apache2\bin\Apache.exe
C:\web\prog\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Libor Novak\Dokumenty\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Libor Novak\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOCUME~1\LIBORN~1\protect.dll,_IWMPEvents@0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [svchost] C:\WINDOWS\system32\config\systemprofile\Data aplikací\svcst.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: MySQL System Tray Monitor.lnk = C:\web\prog\mysql_monitor\MySQLSystemTrayMonitor.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: scandisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe (User 'Default user')
O4 - .DEFAULT Startup: MySQL System Tray Monitor.lnk = C:\web\prog\mysql_monitor\MySQLSystemTrayMonitor.exe (User 'Default user')
O4 - .DEFAULT Startup: scandisk.dll (User 'Default user')
O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user')
O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe
O4 - Startup: MySQL System Tray Monitor.lnk = C:\web\prog\mysql_monitor\MySQLSystemTrayMonitor.exe
O4 - Startup: scandisk.dll
O4 - Startup: scandisk.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: Monitor Apache Servers.lnk = C:\web\prog\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Stáhnout pomocí Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5286058125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 5287333328
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Lavasoft Ad-Aware Service aawserviceAlerter (aawserviceAlerter) - Unknown owner - C:\WINDOWS\TEMP\cqhtopdbyw.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\web\prog\Apache2\bin\Apache.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - C:\web\prog\mysql\bin\mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[Storm!k]

Prosím, poradil by někdo...

[Damned]

Spusť HJT (HijackThis), vypni prohlížeče, odpoj se od internetu a fixni (spustit HJT, "Do a system scan only",
zatrhnout políčko před hodnotou, zmáčknout "Fix checked" a poté "Ano"):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide
O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOCUME~1\LIBORN~1\protect.dll,_IWMPEvents@0
O4 - HKUS\S-1-5-18\..\Run: [svchost] C:\WINDOWS\system32\config\systemprofile\Data aplikací\svcst.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: scandisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: scandisk.dll (User 'Default user')
O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user')
O4 - Startup: scandisk.dll
O4 - Startup: scandisk.lnk = ?
O4 - Global Startup: APC UPS Status.lnk = ?
O23 - Service: Lavasoft Ad-Aware Service aawserviceAlerter (aawserviceAlerter) - Unknown owner - C:\WINDOWS\TEMP\cqhtopdbyw.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcap\rpcapd.exe
*****************************************************************************************************************************************
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[Storm!k]

Tak řádky jsem fixnul.
Malwarebytes' Anti-Malware jsem spustil, ale po cca 80000 proscanovaných souborech najednou přestane odpovídat a už se nic neděje. Povedlo se mi zastavit scan těsně předtím než program přestane odpovídat, tak tady je alespoň částečný log:

Malwarebytes' Anti-Malware 1.41
Verze databáze: 2871
Windows 5.1.2600 Service Pack 2

29.9.2009 16:45:56
mbam-log-2009-09-29 (16-45-51).txt

Typ kontroly: Rychlá kontrola
Zkontrolované objekty: 80407
Uplynulý čas: 2 minute(s), 34 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 2
Infikované klíče registru: 4
Infikované hodnoty registru: 3
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 19

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
C:\Documents and Settings\Libor Novak\protect.dll (Trojan.Agent) -> No action taken.
\\?\globalroot\systemroot\system32\gasfkygesiuwqb.dll (Trojan.FakeAlert) -> No action taken.

Infikované klíče registru:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.

Infikované hodnoty registru:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mserv (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\memman.vxd (Rogue.sysCleaner) -> No action taken.

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\Documents and Settings\Libor Novak\protect.dll (Trojan.Agent) -> No action taken.
\\?\globalroot\systemroot\system32\gasfkygesiuwqb.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Data aplikací\seres.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Libor Novak\Nabídka Start\Programy\Po spuštění\scandisk.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\calc.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\memman.vxd (Rogue.sysCleaner) -> No action taken.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\config\SystemProfile\protect.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\popka.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\rundll32.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Libor Novak\Local Settings\Temp\msupd_2.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Libor Novak\Nabídka Start\Programy\Po spuštění\scandisk.lnk (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.
C:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Libor Novak\Local Settings\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.

[Damned]

Stáhni si SUPERAntiSpyware (čeština je zde: download/file.php?id=4064 ) nainstaluj ho, aktualizuj a spusť Úplné skenování.
Co najde smaž a pokud bude vyžadovat restart, restartuj. V sekci Statistiky/Zprávy potom najdi log a zkopíruj mi ho sem.

[Storm!k]

Ok.
Tady je log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/29/2009 at 05:45 PM

Application Version : 4.29.1002

Core Rules Database Version : 4132
Trace Rules Database Version: 2066

Scan type : Complete Scan
Total Scan Time : 00:25:32

Memory items scanned : 481
Memory threats detected : 1
Registry items scanned : 6549
Registry threats detected : 12
File items scanned : 14715
File threats detected : 19

Trojan.Agent/Gen
C:\WINDOWS\SYSTEM32\CALC.DLL
C:\WINDOWS\SYSTEM32\CALC.DLL
[calc] C:\WINDOWS\SYSTEM32\CALC.DLL
[calc] C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\PROTECT.DLL
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\PROTECT.DLL
[calc] C:\DOCUME~1\LIBORN~1\PROTECT.DLL
C:\DOCUME~1\LIBORN~1\PROTECT.DLL
[calc] C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\PROTECT.DLL
C:\DOCUMENTS AND SETTINGS\LIBOR NOVAK\DOKUMENTY\BACKUPS\BACKUP-20090929-152242-302-SCANDISK.DLL
C:\DOCUMENTS AND SETTINGS\LIBOR NOVAK\DOKUMENTY\BACKUPS\BACKUP-20090929-162416-314-SCANDISK.DLL
C:\DOCUMENTS AND SETTINGS\LIBOR NOVAK\NABíDKA START\PROGRAMY\PO SPUšTěNí\SCANDISK.DLL
C:\DOCUMENTS AND SETTINGS\LIBOR NOVAK\PROTECT.DLL
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\NABíDKA START\PROGRAMY\PO SPUšTěNí\SCANDISK.DLL
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\PROTECT.DLL

Trojan.Dropper/Gen-NV
[mserv] C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DATA APLIKACí\SERES.EXE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DATA APLIKACí\SERES.EXE
[mserv] C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DATA APLIKACí\SERES.EXE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DATA APLIKACí\SVCST.EXE

Trojan.RootKit/Gen
HKLM\System\ControlSet002\Services\aabslklsahrfsx
C:\WINDOWS\SYSTEM32\DRIVERS\DLMXFKRT.SYS
HKLM\System\ControlSet002\Enum\Root\LEGACY_aabslklsahrfsx
HKLM\System\ControlSet002\Services\tkzcdgxd
C:\WINDOWS\SYSTEM32\DRIVERS\BGFROYVATXZW.SYS
HKLM\System\ControlSet002\Enum\Root\LEGACY_tkzcdgxd

Rootkit.Unclassified/KR_Done
C:\WINDOWS\system32\kr_done1

Rogue.XP AntiSpyware2009-Trace
C:\WINDOWS\system32\_scui.cpl

Rogue.XP AntiSpyware 2009
HKU\.DEFAULT\Control Panel\don't load#wscui.cpl [ No ]
HKU\S-1-5-18\Control Panel\don't load#wscui.cpl [ No ]

Trojan.Dropper/Win-NV
C:\WINDOWS\MSA.EXE
C:\WINDOWS\Prefetch\MSA.EXE-1E98B210.pf

Trojan.Agent/Gen-SoftWin[Virut]
C:\WINDOWS\TEMP\CQHTOPDBYW.EXE
C:\WINDOWS\Prefetch\CQHTOPDBYW.EXE-24067AC5.pf

[Damned]

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.

ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache,
cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer,
Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Po vyčištění aktualizuj MbAM, spusť kompletní sken a výsledný log mi sem vlož.

[Storm!k]

Tak kontrola se tentokrát povedla, tady je log:
btw. díky za to, že se tu se mnou zabýváš

Malwarebytes' Anti-Malware 1.41
Verze databáze: 2871
Windows 5.1.2600 Service Pack 2

29.9.2009 18:42:36
mbam-log-2009-09-29 (18-42-26) complete.txt

Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 169458
Uplynulý čas: 20 minute(s), 16 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 1
Infikované klíče registru: 7
Infikované hodnoty registru: 4
Infikované datové položky registru: 3
Infikované adresáře: 0
Infikované soubory: 9

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
\\?\globalroot\systemroot\system32\gasfkygesiuwqb.dll (Rootkit.TDSS) -> No action taken.

Infikované klíče registru:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\memman.vxd (Rogue.sysCleaner) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Downloader) -> No action taken.

Infikované datové položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
\\?\globalroot\systemroot\system32\gasfkygesiuwqb.dll (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\All Users\Data aplikací\{CFAB4006-0AE0-414D-866A-DCB2C46553CF}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd (Rogue.sysCleaner) -> No action taken.
C:\WINDOWS\system32\memman.vxd (Rogue.sysCleaner) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Data aplikací\lizkavd.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EA7EEL8R\Install[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Libor Novak\Nabídka Start\Programy\Po spuštění\scandisk.lnk (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.

[Damned]

Stáhni si SDFix na Plochu.

Spusť SDFix.exe. Program se rozbalí do Vlastního adresáře C:\SDFix (neměnit, pokud má systémový disk jiné písmeno, bude první písmeno jiné.).
Restartuj do nouzového režimu, vyhledej a otevři složku C:\SDFix a v ní spusť soubor RunThis.bat .
Zobrazí se modrá DOSovská obrazovka. Spuštění programu potvrď písmenem "Y" a "Enter".
Program prohledá PC a odstraní některé typy malware.

Po dokončení skenu přijde výzva ke stisknutí klávesy k potvrzení restartu, stiskni. Po restartu se zobrazí normální režim a modrá obrazovka s informací o vytváření logu. Po dokončení se zobrazí log. NEZAVÍREJ ho, ale zkopíruj sem.

Pokud by si ho náhodou zavřel, tak je ve složce C:\SDFix\Report.txt